风险管理架构
世纪互联结合业务发展特点搭建了风险管理架构,对运营过程中的财务和非财务风险进行识别和预警,形成有效的风险防控机制,为公司长期稳定运营保驾护航。风险识别与防控管理工作由董事会指导监管,高级管理层与外部审计机构协作运行,确保其健全有效。
风险管理“三道防线”
世纪互联基于COSO内部控制框架,遵循萨班斯-奥克斯利法案(the Sarbanes-Oxley Act)要求建立了风险管理的三道防线,界定了风险管理工作的层次和分工,明确了针对各类风险的具体控制程序。风险管控的第一道防线侧重对各项业务相关风险进行防范和控制;“第二道防线”从职能部门角度,对风险相关的任务与活动进行管理,对“第一道防线”的运作进行合理的监控和指导,确保管理效果的最优化;“第三道防线”通过内控部门对前两道防线的运作进行事后检查、评估,明确并组织整改存在的问题,确保风险管理各项政策、职责的落实及持续优化。
前瞻性风险管理
世纪互联在重点关注包括关联交易风险在内的与企业运营高度相关的风险项的基础上,致力于执行更具全面性和前瞻性的风险管理工作,合理管控包括气候变化、能源供应等领域的潜在风险点,建立了《突发灾害应急处理制度》等指导性文件,并获得了ISCCC(中国信息安全认证中心)灾难恢复类信息安全服务资质认证,保障企业在潜在风险下的正常运营。
隐私与数据安全
世纪互联提供领先的IT基础设施全生命周期服务,打造具有核心技术、超大规模运营能力的网络空间基础设施运营平台。作为优秀的电信中立、跨运营商的互联互通网络平台和领先的第三方独立数据中心运营商,在向客户提供高可用的数据中心服务的同时,世纪互联也十分重视对客户隐私及数据的保护。在严格遵守《中华人民共和国网络安全法》等国家法律法规的基础上,世纪互联采用严格的身份管理、访问控制、主动加密等手段,通过系统权限划分客户信息、资源查询及使用需求,确保客户数据的安全和保密。
对于外部攻击防控工作,世纪互联严格执行《国家网络安全法》等有关法律、行政法规、规章以及公司信息安全管理规定,建立了基础安全平台,通过建立日志采集系统、网络异常检测平台、漏洞扫描系统等工具,保障客户信息。
2020年,世纪互联推出的蓝云云管家服务在客户隐私保障方面进行了进一步的强化,隐私制度《Microsoft Azure隐私声明》和《Microsoft Azure在线服务标准协议》对标ISO/IEC 27018的隐私保护要求,明确了客户数据的所有权。同时,在运维团队的整个生命周期中贯穿对个人可识别信息的保护。上海蓝云每年会基于 ISO/IEC 27018(针对保护云中个人数据安全的国际标准)进行“公有云个人可识别信息安全控制措施”认证,保证客户的数据隐私和安全。
为加强世纪互联的信息合规与信息安全,世纪互联设立了合规与信息安全管理委员会,将合规与信息安全问题上升到战略层面。委员会负责审批涉及合规与信息安全的重大事项及审核报告,指导、协调日常工作开展。委员会由世纪互联CEO任组长,安全高级副总裁、网络高级副总裁任副组长;其成员由各单元、区域总负责人组成。委员会下设合规与信息安全工作组,负责日常工作的具体执行,监督、管理信息安全服务体系的建设和运转。目前,世纪互联已经制定了包括《信息安全管理制度》《网络安全管理制度》《密码安全保密制度》《网络安全漏洞检测制度》《案件报告和协查制度》等制度全面保障网络安全。
世纪互联也将提供安全服务作为业务发展重点之一,推出了安全应急响应中心及安全服务标准,提供的网络安全基础服务包括DDoS防御服务、渗透测试、主机安全、安全分析、网站安全CA证书、等保咨询等。此外,世纪互联已经开发和建设了基于虚拟机和容器的私有云平台。通过该平台,用户可以将软件服务与硬件系统解耦,实现计算资源的池化管理、动态调度和弹性伸缩以及运维运营服务的集中管控。该平台不仅为世纪互联内部提供持续支撑,也为外部用户提供技术能力的持续改进和最佳实践,着力建设开源开放的生态环境。世纪互联网络安全相关服务得到了市场的高度认可,业务规模快速增长,已经实现创收。
经中国网络安全审查技术与认证中心认证,世纪互联提供的信息安全风险评估服务、信息安全应急处理服务、信息系统安全集成服务、信息系统安全运维服务、信息系统灾难备份与恢复服务均符合信息安全三级服务资质要求。此外,世纪互联也获得了中国信息通信研究院的可信云服务认证、ISO 27001信息安全管理体系、ISO 20000信息技术服务管理体系、ISO 22301业务连续性管理体系、ISO 50001能源管理体系等多项认证。
商业道德
世纪互联遵守诚信经营的发展理念,严格遵守《中华人民共和国刑法》《中华人民共和国公司法》《中华人民共和国反不正当竞争法》等法律法规和行业公约,坚持以最高道德标准和合规标准约束企业与各利益相关方的互动关系。
对于商业道德和腐败问题,世纪互联制定了从廉政监察部到董事会层面的多层管理机制。各相关利益方及公众均可以通过邮箱及电话等渠道进行实名或匿名举报投诉,坚决打击受贿、行贿、索贿、收受回扣等不合规行为。在收到匿名或非匿名的廉政、腐败相关举报、投诉后,廉政监察部将第一时间通过邮件或电话联系举报人、投诉人,详细了解情况并制定工作计划。经集团管理层审批后,廉政监察部将启动调查程序,成立调查小组,开展调查工作。完成调查工作后,廉政监察部将及时将调查报告(含处理建议、整改计划)呈报集团管理层或董事会,并在2个工作日内给出处理意见并签署确认的调查报告。世纪互联同时也建立了保护吹哨人制度,严格防范对举报投诉的打击报复行为。
为强化公司风险管理能力,世纪互联对公司及下属分公司、控股子公司的所有业务及运营进行内部审计,并制定了明确的《内部审计流程》,审计范围包括财务收支及其有关的经济活动、内部控制制度及执行情况、国家财经法规和单位规章制度的执行、运营效率及效果评价等。内控部每年年初拟定内部审计专项计划,报集团审计委员会批准后执行。
世纪互联每年都会对公司及下属分公司、控股子公司的所有业务及运营进行廉洁专项审计,并且以多种形式对全体员工开展以廉政、反腐败为主题的培训和宣贯。世纪互联制定了《世纪互联集团廉政谈话制度》《廉政巡查制度》《礼品礼单登记制度》等政策制度,覆盖全体员工,严格规范公司和员工的合规行为。世纪互联要求所有员工及供应商均需签署《反商业贿赂行为承诺书》,并接受廉政培训。自2020年10月起,廉政监察部在内部办公软件中创建了廉政教育专题版块,不定期发布贪腐案例至全体员工,加强廉政宣传及教育,以示警戒。此外,世纪互联于2019年加入了反舞弊联盟组织,定期参与反舞弊联盟组织的线上课程及线下培训,切实践行商业道德合规理念。
