信息及數(shù)據(jù)安全
世紀(jì)互聯(lián)深耕信息安全領(lǐng)域,依靠夯實(shí)的信息安全管理體系、嚴(yán)格的數(shù)據(jù)保護(hù)制度、信息安全系統(tǒng)和風(fēng)險(xiǎn)管理程序、扎實(shí)的員工信息安全培訓(xùn),不斷提升強(qiáng)化數(shù)據(jù)中心和云服務(wù)平臺(tái)運(yùn)營管理能力,為客戶的信息及數(shù)據(jù)安全保駕護(hù)航。
體系建設(shè)
世紀(jì)互聯(lián)持續(xù)加強(qiáng)信息安全管理體系建設(shè)及落地,通過《合規(guī)與信息安全管理規(guī)定》《信息安全管理體系方針》與《信息安全風(fēng)險(xiǎn)管理程序》等制度,明確各業(yè)務(wù)的信息安全管理職責(zé),為信息安全管理日常實(shí)踐提供規(guī)范化指導(dǎo)依據(jù)。
管理架構(gòu)
世紀(jì)互聯(lián)設(shè)立合規(guī)與信息安全管理委員會(huì),作為世紀(jì)互聯(lián)合規(guī)與信息安全管理工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)。委員會(huì)下設(shè)合規(guī)與信息安全工作組,負(fù)責(zé)日常信息安全管理落地,以保障業(yè)務(wù)依法合規(guī)、安全有序、高效運(yùn)營為首要工作目標(biāo)。
我們建立了信息安全風(fēng)險(xiǎn)識(shí)別管理機(jī)制,對(duì)擁有的信息資產(chǎn)進(jìn)行全面梳理,定期實(shí)施風(fēng)險(xiǎn)評(píng)估,并通過緊急/重大信息安全事件響應(yīng)機(jī)制,指導(dǎo)事件處置人員做出及時(shí)的應(yīng)急響應(yīng),以最大程度降低事件可能造成的不良影響。與此同時(shí),我們與工信部、網(wǎng)信辦、公安部等監(jiān)管機(jī)構(gòu)及其支撐單位建立順暢溝通機(jī)制,及時(shí)了解、評(píng)估法律環(huán)境變化,并轉(zhuǎn)化為針對(duì)性管理實(shí)踐。
體系認(rèn)證
我們的數(shù)據(jù)中心具備信息系統(tǒng)安全集成服務(wù)資質(zhì)、信息安全應(yīng)急處理服務(wù)資質(zhì)及信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì),且均獲得由中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心所頒發(fā)的三級(jí)服務(wù)資質(zhì)認(rèn)證證書。同時(shí),集團(tuán)主要業(yè)務(wù)運(yùn)營所在區(qū)域已通過信息安全管理體系(ISO27001)認(rèn)證。
在云服務(wù)層面,世紀(jì)互聯(lián)藍(lán)云已通過包括信息技術(shù)服務(wù)管理體系(ISO20000)、公有云個(gè)人信息保護(hù)管理體系(ISO27018)、可信云等國際國內(nèi)多項(xiàng)信息安全及數(shù)據(jù)隱私相關(guān)權(quán)威認(rèn)證。其中,ISO27018又稱“云隱保護(hù)認(rèn)證”,旨在為公有云個(gè)人可識(shí)別信息處理者提供一套實(shí)務(wù)守則,保護(hù)公有云中的個(gè)人可識(shí)別信息(PII)不受侵犯,世紀(jì)互聯(lián)藍(lán)云已連續(xù)5年獲得此認(rèn)證。
可信云是我國云計(jì)算領(lǐng)域信任體系的權(quán)威評(píng)估,世紀(jì)互聯(lián)藍(lán)云自2014年獲得首批可信云認(rèn)證至今,已累計(jì)獲得11項(xiàng)可信云認(rèn)證。本年度,世紀(jì)互聯(lián)藍(lán)云亦通過網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)評(píng)測(cè),全面覆蓋基礎(chǔ)架構(gòu)即服務(wù)(IaaS),平臺(tái)即服務(wù)(PaaS),軟件即服務(wù)(SaaS),為客戶提供從基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)、云平臺(tái)到云應(yīng)用的全方位云安全服務(wù)。
世紀(jì)互聯(lián)藍(lán)云已連續(xù)三年通過由獨(dú)立第三方審計(jì)機(jī)構(gòu)開展的SOC審計(jì),并獲得SOC1、SOC2、SOC3報(bào)告,標(biāo)志著藍(lán)云在內(nèi)部控制、安全性、可用性、進(jìn)程完整性、保密性等方面的能力達(dá)到了業(yè)界權(quán)威標(biāo)準(zhǔn)要求。
信息安全管理
物理安全是我們開展信息安全管理的基礎(chǔ)。世紀(jì)互聯(lián)以國A標(biāo)準(zhǔn)進(jìn)行數(shù)據(jù)中心的設(shè)計(jì),符合安全等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)中的物理環(huán)境安全要求。我們關(guān)注數(shù)據(jù)中心的周邊安全,在數(shù)據(jù)中心內(nèi)部以及外圍人員進(jìn)出區(qū)域均安裝監(jiān)控設(shè)施;數(shù)據(jù)中心及辦公樓入口處安裝閘機(jī)并設(shè)定出入權(quán)限;外來人員進(jìn)入我們的運(yùn)營區(qū)域需要登記并獲得許可后進(jìn)入,以保護(hù)我們的設(shè)備設(shè)施,加強(qiáng)人員進(jìn)入管控。在此基礎(chǔ)之上,我們結(jié)合客戶定制化需求,提供更高級(jí)別的物理安全管理。
在內(nèi)部網(wǎng)絡(luò)安全層面,世紀(jì)互聯(lián)重點(diǎn)關(guān)注集團(tuán)內(nèi)部的網(wǎng)絡(luò)管理并持續(xù)規(guī)范員工行為。我們制定了《辦公網(wǎng)絡(luò)安全準(zhǔn)入管理規(guī)定》《密碼管理制度》及《遠(yuǎn)程訪問權(quán)限管理規(guī)定》等制度,為員工在不同工作環(huán)境中的安全操作提供規(guī)范化指導(dǎo)。員工必須滿足設(shè)備、網(wǎng)絡(luò)、賬號(hào)、IP、防火墻等全部規(guī)范要求后方獲得網(wǎng)絡(luò)準(zhǔn)入許可。員工辦公設(shè)備均安裝數(shù)據(jù)防泄露(DLP)終端,針對(duì)電腦內(nèi)部的所有程序進(jìn)行管理,并對(duì)信息傳輸工具進(jìn)行監(jiān)控,避免重要信息泄露。此外,我們每周均對(duì)重要信息系統(tǒng)的敏感操作開展安全審計(jì)工作。
在外部網(wǎng)絡(luò)安全層面,世紀(jì)互聯(lián)積極監(jiān)控并響應(yīng)潛在的網(wǎng)絡(luò)安全威脅。我們通過部署信息安全產(chǎn)品,每日對(duì)集團(tuán)辦公網(wǎng)絡(luò)進(jìn)行病毒、惡意攻擊等方面的安全監(jiān)測(cè);同時(shí),我們每月開展漏洞掃描及滲透測(cè)試工作以評(píng)估現(xiàn)有網(wǎng)絡(luò)安全系統(tǒng)的完善性并進(jìn)行改善。針對(duì)多種類型的網(wǎng)絡(luò)攻擊問題,我們制定專項(xiàng)防御方案,例如通過高可用統(tǒng)一威脅管理(UTM)、Web應(yīng)用防火墻(WAF)、流量清洗等方式,排除惡意和非授權(quán)入侵,進(jìn)行網(wǎng)絡(luò)邊界防御;通過網(wǎng)絡(luò)檢測(cè)與響應(yīng)(NDR)、終端檢測(cè)與響應(yīng)(EDR)、日志審計(jì)等方式,提高對(duì)高級(jí)持續(xù)性威脅(APT)以及后滲透階段的檢測(cè)發(fā)現(xiàn)能力,進(jìn)行縱深防御。
隱私與數(shù)據(jù)保護(hù)
世紀(jì)互聯(lián)使用世界領(lǐng)先的加密方法、協(xié)議和算法來保護(hù)客戶數(shù)據(jù)在其基礎(chǔ)架構(gòu)中的傳輸安全和存儲(chǔ)機(jī)密性。為了充分保護(hù)客戶云計(jì)算環(huán)境的安全,世紀(jì)互聯(lián)采用了多種安全保護(hù)技術(shù)和手段。我們?cè)谂c客戶進(jìn)行項(xiàng)目前期技術(shù)選型過程中,會(huì)充分調(diào)研客戶對(duì)于信息安全的要求,并制定符合客戶安全要求的云平臺(tái)信息安全方案,包括但不限于云平臺(tái)選型、安全組件的選型、安全策略的建議、網(wǎng)絡(luò)隔離的建議等。
我們制定了隱私保護(hù)政策,以保證個(gè)人數(shù)據(jù)與隱私的安全。在數(shù)據(jù)收集過程中,我們基于“最小化”的原則進(jìn)行數(shù)據(jù)采集;我們給予員工及客戶授權(quán)、管理和刪除個(gè)人信息的權(quán)利,并向其告知數(shù)據(jù)使用途徑,保障其知情權(quán)和決定權(quán);同時(shí),我們建立有完善的數(shù)據(jù)保護(hù)流程,最大限度保障數(shù)據(jù)安全。
人員培訓(xùn)
我們高度重視員工信息安全文化與意識(shí)的培養(yǎng),結(jié)合各崗位所面臨的信息安全風(fēng)險(xiǎn)的差異,提供針對(duì)性培訓(xùn),涵蓋信息安全法規(guī)、理念、制度及技術(shù)等多個(gè)維度。集團(tuán)對(duì)員工開展多種形式的信息安全培訓(xùn),包括數(shù)據(jù)與隱私保護(hù)相關(guān)培訓(xùn);在新員工入職培訓(xùn)項(xiàng)目中增設(shè)信息安全模塊;不定期針對(duì)信息安全相關(guān)法律法規(guī)開展專項(xiàng)培訓(xùn)等。
本年度,我們外聘安全專家為全體員工講解信息安全等級(jí)保護(hù)三級(jí)2.0要求,增強(qiáng)員工信息安全專業(yè)能力,員工信息安全受訓(xùn)比例達(dá)100%。
與合作伙伴共贏
世紀(jì)互聯(lián)擁有多元的業(yè)務(wù)合作伙伴,致力于與供應(yīng)商建立共贏互惠的合作關(guān)系。我們嚴(yán)格落實(shí)責(zé)任采購,積極識(shí)別并防控供應(yīng)鏈各環(huán)節(jié)風(fēng)險(xiǎn),助力全產(chǎn)業(yè)鏈共同構(gòu)建一個(gè)開放、互利的合作環(huán)境。
閉環(huán)采購管理
世紀(jì)互聯(lián)嚴(yán)格遵守國家法律法規(guī)及業(yè)內(nèi)相關(guān)規(guī)定,通過《采購管理規(guī)定》《供應(yīng)商管理細(xì)則》《采購人員行為規(guī)定》等制度明確采購各環(huán)節(jié)職責(zé)分工、規(guī)范采購人員行為、嚴(yán)格把控合作供應(yīng)商質(zhì)量,落實(shí)閉環(huán)的采購管理。
本年度,世紀(jì)互聯(lián)進(jìn)一步優(yōu)化供應(yīng)商準(zhǔn)入管理,通過“標(biāo)準(zhǔn)準(zhǔn)入”和“快速準(zhǔn)入”的區(qū)分,實(shí)現(xiàn)了供應(yīng)商管理效率的提升。我們進(jìn)一步完善了針對(duì)不達(dá)標(biāo)供應(yīng)商的分類機(jī)制,將其分類為整改供應(yīng)商、不合格供應(yīng)商、暫停合作供應(yīng)商以及供應(yīng)商黑名單,以便更有針對(duì)性地幫助供應(yīng)商解決問題。
與此同時(shí),我們還搭建了供應(yīng)商關(guān)系管理(SRM)系統(tǒng)。通過SRM系統(tǒng),我們可以實(shí)現(xiàn)線上供應(yīng)商尋源、供應(yīng)商認(rèn)證及供應(yīng)商全生命周期管理等功能,加強(qiáng)采購過程的可視化和可追溯化。
截止報(bào)告期末,我們共擁有在庫供應(yīng)商2,623家,其中包括港澳臺(tái)地區(qū)供應(yīng)商5家、其他國家地區(qū)供應(yīng)商5家。
可持續(xù)供應(yīng)鏈
世紀(jì)互聯(lián)致力于打造可持續(xù)的供應(yīng)體系,識(shí)別并防控采購各個(gè)環(huán)節(jié)可能發(fā)生的風(fēng)險(xiǎn),從供應(yīng)商入圍資質(zhì)審核、現(xiàn)場(chǎng)考察、內(nèi)部評(píng)估測(cè)試、入圍公示到入選等環(huán)節(jié)實(shí)施全鏈條審查模式,多維度評(píng)估考核供應(yīng)商綜合表現(xiàn)。
在保障采購需求、及時(shí)履行約定的同時(shí),我們積極推動(dòng)供應(yīng)商提升可持續(xù)發(fā)展水平。在供應(yīng)商管理的各工作流程中,我們有針對(duì)性地加入對(duì)供應(yīng)商ESG風(fēng)險(xiǎn)的考量,重點(diǎn)關(guān)注其在環(huán)保低碳、信息安全、勞工權(quán)益、職業(yè)健康安全及廉潔誠信方面的表現(xiàn)。