世纪互联深耕信息安全领域,依靠夯实的信息安全管理体系、严格的数据保护制度要求、信息安全系统和风险管理程序、扎实的员工信息安全培训,不断强化数据中心和云服务平台运营管理能力,为客户的信息及数据安全保驾护航。
世纪互联持续加强信息安全管理体系建设及落地,通过《合规与信息安全管理规定》《信息安全管理体系方针》与《信息安全风险管理程序》等制度,明确各业务的信息安全管理职责,为信息安全日常实践提供规范化指导依据。根据《合规与信息安全管理规定》,包括管理者在内的所有员工均需坚持履行有关义务,我们搭建了清晰的上报流程,以供员工在发现可疑情况时报告疑虑、问题和缺陷。
我们建立了完善的信息安全管治架构,对信息安全工作进行监督和执行。审计委员会代表董事会对集团定期报告中有关网络安全事项的披露保持监督。集团的信息安全计划由我们的首席信息安全官(CISO)进行监督,各业务和职能部门之间进行协作,并听取管理层和董事会的意见。CISO负责制定和执行集团的信息安全战略,其主要目标是保护集团的信息和技术资产,包括对网络威胁进行监控、报告、管理和补救。
我们获得了由中国网络安全审查认证和市场监管大数据中心所颁发的灾难备份与恢复一级及安全运维二级服务资质,我们的数据中心还具备信息系统安全集成三级服务资质、信息安全应急处理三级服务资质及信息安全风险评估三级服务资质。我们持续开展数据中心及应用系统的等级保护测评(三级),以识别信息系统存在的安全问题,为信息安全建设提供整体解决方案,保障系统稳定运行。同时,我们开展了SOC2 TypeⅡ审计,获得由专业的第三方会计师事务所依据美国注册会计师协会(AICPA)审计准则,针对某数据中心的互联网数据中心服务体系的安全性和可用性相关的控制设计适当性和运行有效性出具的独立评估报告。目前,集团主营业务所涉及的多场所已获得了信息技术服务管理体系(ISO/IEC 20000)及信息安全管理体系(ISO/IEC 27001)认证。
在云服务层面,世纪互联蓝云已通过包括信息技术服务管理体系(ISO/IEC 20000)、信息安全管理体系(ISO/IEC 27001)、公有云个人信息保护管理体系(ISO/IEC 27018)、可信云、三级网络安全等级保护测评等多项信息安全及数据隐私相关权威认证,为客户提供全方位的云安全服务。
在集团信息安全管理体系下,我们从物理安全及内外部网络安全等方面,制定安全保障措施及应急响应流程,保证数据安全风险管控行动的及时性和有效性。
以GB 50174-2017《数据中心设计规范》中A级数据中心标准进行数据中心设计;同时,符合网络安全等级保护三级标准中的物理环境安全要求。
在数据中心及办公楼入口安装闸机,并设定出入权限,加强人员出入管控;在数据中心内部及外围人员进出区域安装监控设施。
制定《信息安全管理策略》《办公网络安全准入管理规定》《密码管理制度》及《远程访问权限管理规定》等制度,规范内部网络管理及员工行为。
员工必须满足设备、网络、账号、IP、防火墙等全部规范要求后,才可以获得网络准入许可;员工办公设备均安装数据防泄露(DLP)终端,管理电脑内部的所有程序,监控信息传输工具,避免重要信息泄露。
每周均对针对重要信息系统的敏感操作开展安全审计工作。
在外部网络安全层面,我们通过部署信息安全产品,每日对集团办公网络进行病毒、恶意攻击等方面的安全监测;每月及每季度开展漏洞扫描及渗透测试工作,以评估现有网络安全系统的完善性并进行改善;定期进行业务合规性审核,并开展内外部IT审计。
针对多种类型的网络攻击问题,我们制定专项防御方案,例如通过高可用统一威胁管理(UTM)、Web应用防火墙(WAF)、流量清洗等方式,排除恶意和非授权入侵,进行网络边界防御;通过网络检测与响应(NDR)、终端检测与响应(EDR)、日志审计等方式,提高对高级持续性威胁(APT)以及后渗透阶段的检测发现能力,进行纵深防御。
世纪互联重视数据与隐私保护,遵守包括《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,制定适用于全集团的《隐私声明》,对可能收集的信息类型及性质、如何使用该等信息、信息的授权同意、如何保留、储存和保护该等信息等内容进行阐明。
我们将数据保护措施融入到产品和服务开发中,并对保护措施进行持续改进。在保护措施上,我们通过采取访问控制、漏洞扫描、防火墙、数据隔离、传输加密等主动性、被动性保护措施,为个人信息的处理活动提供充分保障。
世纪互联高度重视员工信息安全文化与意识的培养。结合各岗位所面临的差异性信息安全风险,我们提供针对性培训,涵盖信息安全法规、制度、理念及技术等多个维度。同时,我们在新员工入职培训项目中增设信息安全模块。2023年,集团邀请外部专家开展信息安全、网络安全和隐私保护—信息安全管理体系(ISO/IEC 27001)标准专项培训,覆盖集团主要业务部门,整体提升信息安全管理能力。截至2023年末,世纪互联全体员工信息安全受训比例达100%。
世纪互联的稳定发展离不开合作伙伴的支持,我们与供应商建立共赢互惠的合作关系,打造绿色、可持续供应链。
世纪互联严格遵守国家法律法规及业内相关规定,通过《采购管理规定》《供应商管理细则》《采购人员行为规范》等制度明确采购各环节职责分工、规范采购人员行为、严格把控合作供应商交付质量,落实闭环的采购管理。本年度,集团对供应商关系管理(SRM)系统进行优化,实现线上供应商寻源、供应商认证及供应商全生命周期管理等功能,加强采购过程的可视化和可追溯化。
在供应商准入阶段,我们通过科学的评价考核体系,对供应商进行客观、公正的评价,筛选合格的供应商入围。我们亦通过划分“标准准入”和“快速准入”类别,优化准入流程,进一步实现供应商管理效率的提升。对于已有供应商,我们定期开展评审,对供应商服务意识、产品质量、履约能力等方面进行综合评估,以筛选出优质供应商。针对考核不达标的供应商,我们将其分类为整改供应商、不合格供应商、暂停合作供应商、供应商黑名单,以便更有针对性地帮助供应商解决问题。
截至2023年末,我们共拥有在库供应商2,854家,其中包括港澳台地区供应商5家、其他国家和地区供应商5家。
世纪互联致力于打造可持续的供应链体系,识别并防控采购环节可能发生的风险,从供应商入围资质审核、现场考察、内部评估测试、入围公示到入选等环节实施全链条审查模式,多维度评估考核供应商综合表现。
我们对合作期间的供应商开展绩效评估,在保障采购需求、及时履行约定的同时,我们积极推动供应商提升可持续发展水平。在供应商管理的工作流程中,我们有针对性地加入对供应商ESG风险的考量,重点关注其在环保低碳、信息安全与隐私保护、劳工权益、职业健康安全及廉洁诚信方面的表现。
