安全稳定运营

安全稳定运营是世纪互联的核心价值目标之一，其凭借全面的安全策略与技术手段，全力保障业务连续性与数据安全性。

运营安全与业务连续性

世纪互联始终秉持为客户提供高品质、可持续的互联网基础设施服务的宗旨，密切关注并有效应对业务运营中面临的内外部风险，确保业务运行的安全性、稳定性与连续性。

在安全运营方面，我们首先将数据中心选址建设在远离重大自然地理风险的区域，以最大程度预防自然灾害对业务的影响。数据中心的设计严格参照《数据中心设计规范》（GB 50174-2017）中A级标准，并且符合网络安全等级保护三级标准的物理环境安全要求。我们实施了严格的物理访问控制措施，在数据中心及办公区入口设置保安、配备智能闸机等系统，根据访问授权严格控制出入权限。同时，实现数据中心内部及外围区域的监控设施全覆盖，确保安全无死角。

集团建立并有效运行业务连续性管理体系。我们制定并持续评估《业务连续性管理策略》《业务影响分析》和《业务连续性计划》，根据实际需求进行适时更新，确保策略和程序的控制措施适当、充分、有效。我们对数据中心进行全面的业务影响分析和风险评估，确保关键业务在面临重大安全事件、灾难或中断时能够持续运行或在预期的时间内恢复至可接受的服务水平。同时，各业务单位制定符合自身经营活动和风险场景的《应急预案》，定期开展应急演练，并通过事后总结机制，不断优化应急处理流程，保障业务连续性管理能力的持续提升。目前，我们主营业务所涉及的多场所已通过业务连续性管理体系（ISO 22301）认证。

网络安全与隐私保护

世纪互联凭借丰富的安全管理经验，依托完善的网络安全管理体系、严谨的数据保护制度要求、先进的网络安全系统与风险管理程序，持续强化数据中心和云服务平台的运营管理能力，为网络安全与隐私保护提供坚实保障。

·管理架构和体系

世纪互联严格遵守运营所在地网络安全与隐私保护相关法律法规，持续加强管理体系的建设及落地，通过《网络及信息系统管理规定》《信息安全管理要求》与《信息安全风险管理程序》等制度，明确各业务的网络安全管理职责，为网络安全日常实践提供规范化指导依据。我们制定了适用于全集团的《隐私声明》，阐明了可能收集的信息类型及性质、如何使用该等信息、信息的授权同意、如何保留、储存和保护该等信息等内容，确保客户隐私安全得到全方位保障。

集团建立了完善的信息安全管治架构，对信息安全工作（包括数据与隐私保护）进行监督和执行。董事会审计委员会监督集团定期报告中有关网络安全事项的披露情况。集团的信息安全计划由我们的首席信息安全官（CISO）进行监督，各业务和职能部门之间进行协作，并听取管理层和董事会的意见。CISO 负责制定和执行集团的信息安全战略，其主要目标是保护集团的信息和技术资产，包括对网络威胁进行监控、报告、管理和补救。

集团积极开展信息安全与隐私保护相关认证工作，全面巩固和提升集团信息安全防护能力。目前，集团已获得了信息技术服务管理体系（ISO/IEC 20000）及信息安全管理体系（ISO/IEC 27001）认证，覆盖全部业务类型 ；由世纪互联运营的在线服务已获得公有云个人信息保护管理体系（ISO/IEC 27018）认证。

集团依据安全方针和目标，定期组织内部审计，以管理要求符合性审查为核心，同时覆盖包括运营管理、服务管理、信息安全及业务连续性管理在内的多个管理体系领域。此外，每年由外部专业机构开展第三方安全审计，旨在对年度内数据中心的运营管理情况给出客观评价，排查并消除运营安全、数据安全隐患，持续提升经营管理的规范性和安全性。针对互联网数据中心服务的安全性和可用性，我们已委托独立第三方机构开展SOC 2 Type II鉴证审核。世纪互联蓝云已通过9项中国信息通信研究院可信云认证，并通过了由独立第三方机构开展的SOC 1 Type II、SOC 2 Type II、SOC 3鉴证审核。

·措施保障

• ◇网络安全

  世纪互联主要提供数据中心托管服务，即仅向客户租赁IT设备托管空间和互联网接入带宽、链路，同时提供机房运维服务。服务器由客户自行管理，不直接或间接接触客户服务器内的数据和信息。我们着重加强并提升机房物理安全防护，提供客户IT设备稳定运行所依赖的物理环境，保障客户IT设备的物理安全与运行安全。

  
  

  针对网络安全和网络边界防护方面，我们严格落实集团网络安全管理和数据保护相关制度要求，确保及时、有效管控风险，保障集团网络和数据资产的安全。




• ◇隐私保护

  我们将数据保护措施嵌入产品和服务的开发过程中。我们开展隐私影响评估，通过部署私有云、数据加密、访问控制、备份与恢复等多方面的措施，为产品和服务的开发提供一个高度安全、可控的数据存储和处理环境。

  
  

  我们制定适用于所有访客的《个人信息采集告知书》，明确指出集团仅收集访客管理所必需的个人信息，并承诺对收集、使用的信息严格保密，不泄露、篡改，不出售或者非法向他人提供；并将在访客离开后主动删除或安全处理相关信息。对于涉及例如客户项目机密信息、个人敏感信息等机密或敏感数据，我们执行严格的访问控制管理，以增强数据访问的安全性。为了防止数据外泄，我们为员工办公电脑设置了硬盘加密，安装了数据防泄露软件；第三方公司驻场必须配备集团内部笔记本电脑，使用内部分配账号，其账户权限按最小权限进行分配。我们与具备数据销毁专业资质的机构合作，对报废IT设备中的存储介质实施全面消磁、彻底清除及物理破坏，严范信息泄露。

·能力与文化建设

我们持续加强对员工网络安全与隐私保护的意识和能力，结合不同岗位所面临的差异性数据安全风险，提供针对性培训，内容涵盖信息安全法规、制度、理念及技术等多个维度。我们要求所有新入职员工均须完成信息安全专项培训并通过考核。此外，集团进一步强化员工对网络钓鱼邮件的防范意识，定期发布钓鱼邮件安全预警，开展全员钓鱼邮件安全演练，整体提升集团网络安全风险识别与应对能力。截至2024年末，集团全体员工网络安全受训比例达100%。

我们建立了内部员工举报机制，员工可通过内部通讯软件、邮件、电话等渠道，将发现的信息安全事件、漏洞、可疑内容上报至网络与信息系统安全工作组，由工作组对上报内容和来源进行审核和处置。

世纪互联设立业务合规经营与信息安全工作奖励基金，旨在表彰和奖励在业务合规经营与信息安全工作中做出突出贡献的团体和个人。同时，对迟报、谎报、瞒报和漏报安全事件或者存在其他失职、渎职行为的有关责任人，依据《网络及信息系统安全工作考核与问责管理规定》给予相应的纪律处分，构成犯罪的，依法追究刑事责任。

负责任供应链

世纪互联始终遵循国家法律法规及行业规范，按照《采购管理规定》《供应商管理细则》及《采购人员行为规范》等规章制度，清晰界定采购流程中的职责分配，严格规范采购人员的职业操守，并紧密监督合作供应商的产品交付质量，确保采购管理全链条的高质量运行。

截至2024年末，世纪互联在库供应商总数为3,133家。集团通过供应商关系管理（SRM）系统整合，实现了供应商全生命周期的数字化管理，覆盖供应商寻源、准入审核、履约管理、协作沟通等关键环节，有效提升了采购管理流程的可视化和可追溯性。

集团建立了严谨的供应商管理流程：

• ◇在准入阶段，我们通过科学的评价考核体系，对潜在供应商进行客观公正的评价，确保合格供应商入围；开展实地考察，对供应商的生产能力、设备状况、质量管理流程等进行现场评估，以筛选优质供应商。

• ◇对于已有供应商，我们进行持续的监督和评估，定期开展综合评估，涵盖服务意识、产品质量、履约能力等多个方面，确保供应商始终符合集团的要求。

• ◇对于考核不达标的供应商，我们根据其考核问题及整改情况，将其分类为整改供应商、不合格供应商、暂停合作供应商及列入黑名单的供应商，以便更有针对性地帮助供应商解决问题。

我们制定并发布《供应商行为守则》，从商业道德、环境保护、人权、数据安全与隐私保护等多个维度对供应商进行规范和约束，要求所有供应商签署并遵守。在确保满足采购需求和合同履行约定的基础上，我们将ESG风险考量纳入供应商管理流程中，着重考量其在环保低碳、网络安全与隐私保护、劳工权益、职业健康安全及廉洁诚信方面的表现，全力推动供应商提升可持续发展水平。本年度，集团针对重点供应商开展了涵盖隐私与数据安全、廉洁和商业道德、环境保护等核心内容的专项培训与交流，全面提升供应商可持续发展相关的认知水平及实践能力。本年度，未发现供应商在商业道德、信息安全、员工权益、环境保护等方面存在的不合规行为。