信息及數(shù)據(jù)安全
世紀互聯(lián)深耕信息安全領(lǐng)域,依靠夯實的信息安全管理體系、嚴格的數(shù)據(jù)保護制度、信息安全系統(tǒng)和風(fēng)險管理程序、扎實的員工信息安全培訓(xùn),不斷提升強化數(shù)據(jù)中心和云服務(wù)平臺運營管理能力,為客戶的信息及數(shù)據(jù)安全保駕護航。
體系建設(shè)
世紀互聯(lián)持續(xù)加強信息安全管理體系建設(shè)及落地,通過《合規(guī)與信息安全管理規(guī)定》《信息安全管理體系方針》與《信息安全風(fēng)險管理程序》等制度,明確各業(yè)務(wù)的信息安全管理職責(zé),為信息安全管理日常實踐提供規(guī)范化指導(dǎo)依據(jù)。
管理架構(gòu)
世紀互聯(lián)設(shè)立合規(guī)與信息安全管理委員會,作為世紀互聯(lián)合規(guī)與信息安全管理工作的最高領(lǐng)導(dǎo)機構(gòu)。委員會下設(shè)合規(guī)與信息安全工作組,負責(zé)日常信息安全管理落地,以保障業(yè)務(wù)依法合規(guī)、安全有序、高效運營為首要工作目標。
我們建立了信息安全風(fēng)險識別管理機制,對擁有的信息資產(chǎn)進行全面梳理,定期實施風(fēng)險評估,并通過緊急/重大信息安全事件響應(yīng)機制,指導(dǎo)事件處置人員做出及時的應(yīng)急響應(yīng),以最大程度降低事件可能造成的不良影響。與此同時,我們與工信部、網(wǎng)信辦、公安部等監(jiān)管機構(gòu)及其支撐單位建立順暢溝通機制,及時了解、評估法律環(huán)境變化,并轉(zhuǎn)化為針對性管理實踐。
體系認證
我們的數(shù)據(jù)中心具備信息系統(tǒng)安全集成服務(wù)資質(zhì)、信息安全應(yīng)急處理服務(wù)資質(zhì)及信息安全風(fēng)險評估服務(wù)資質(zhì),且均獲得由中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心所頒發(fā)的三級服務(wù)資質(zhì)認證證書。同時,集團主要業(yè)務(wù)運營所在區(qū)域已通過信息安全管理體系(ISO27001)認證。
在云服務(wù)層面,世紀互聯(lián)藍云已通過包括信息技術(shù)服務(wù)管理體系(ISO20000)、公有云個人信息保護管理體系(ISO27018)、可信云等國際國內(nèi)多項信息安全及數(shù)據(jù)隱私相關(guān)權(quán)威認證。其中,ISO27018又稱“云隱保護認證”,旨在為公有云個人可識別信息處理者提供一套實務(wù)守則,保護公有云中的個人可識別信息(PII)不受侵犯,世紀互聯(lián)藍云已連續(xù)5年獲得此認證。
可信云是我國云計算領(lǐng)域信任體系的權(quán)威評估,世紀互聯(lián)藍云自2014年獲得首批可信云認證至今,已累計獲得11項可信云認證。本年度,世紀互聯(lián)藍云亦通過網(wǎng)絡(luò)安全等級保護三級評測,全面覆蓋基礎(chǔ)架構(gòu)即服務(wù)(IaaS),平臺即服務(wù)(PaaS),軟件即服務(wù)(SaaS),為客戶提供從基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)、云平臺到云應(yīng)用的全方位云安全服務(wù)。
世紀互聯(lián)藍云已連續(xù)三年通過由獨立第三方審計機構(gòu)開展的SOC審計,并獲得SOC1、SOC2、SOC3報告,標志著藍云在內(nèi)部控制、安全性、可用性、進程完整性、保密性等方面的能力達到了業(yè)界權(quán)威標準要求。
信息安全管理
物理安全是我們開展信息安全管理的基礎(chǔ)。世紀互聯(lián)以國A標準進行數(shù)據(jù)中心的設(shè)計,符合安全等級保護三級標準中的物理環(huán)境安全要求。我們關(guān)注數(shù)據(jù)中心的周邊安全,在數(shù)據(jù)中心內(nèi)部以及外圍人員進出區(qū)域均安裝監(jiān)控設(shè)施;數(shù)據(jù)中心及辦公樓入口處安裝閘機并設(shè)定出入權(quán)限;外來人員進入我們的運營區(qū)域需要登記并獲得許可后進入,以保護我們的設(shè)備設(shè)施,加強人員進入管控。在此基礎(chǔ)之上,我們結(jié)合客戶定制化需求,提供更高級別的物理安全管理。
在內(nèi)部網(wǎng)絡(luò)安全層面,世紀互聯(lián)重點關(guān)注集團內(nèi)部的網(wǎng)絡(luò)管理并持續(xù)規(guī)范員工行為。我們制定了《辦公網(wǎng)絡(luò)安全準入管理規(guī)定》《密碼管理制度》及《遠程訪問權(quán)限管理規(guī)定》等制度,為員工在不同工作環(huán)境中的安全操作提供規(guī)范化指導(dǎo)。員工必須滿足設(shè)備、網(wǎng)絡(luò)、賬號、IP、防火墻等全部規(guī)范要求后方獲得網(wǎng)絡(luò)準入許可。員工辦公設(shè)備均安裝數(shù)據(jù)防泄露(DLP)終端,針對電腦內(nèi)部的所有程序進行管理,并對信息傳輸工具進行監(jiān)控,避免重要信息泄露。此外,我們每周均對重要信息系統(tǒng)的敏感操作開展安全審計工作。
在外部網(wǎng)絡(luò)安全層面,世紀互聯(lián)積極監(jiān)控并響應(yīng)潛在的網(wǎng)絡(luò)安全威脅。我們通過部署信息安全產(chǎn)品,每日對集團辦公網(wǎng)絡(luò)進行病毒、惡意攻擊等方面的安全監(jiān)測;同時,我們每月開展漏洞掃描及滲透測試工作以評估現(xiàn)有網(wǎng)絡(luò)安全系統(tǒng)的完善性并進行改善。針對多種類型的網(wǎng)絡(luò)攻擊問題,我們制定專項防御方案,例如通過高可用統(tǒng)一威脅管理(UTM)、Web應(yīng)用防火墻(WAF)、流量清洗等方式,排除惡意和非授權(quán)入侵,進行網(wǎng)絡(luò)邊界防御;通過網(wǎng)絡(luò)檢測與響應(yīng)(NDR)、終端檢測與響應(yīng)(EDR)、日志審計等方式,提高對高級持續(xù)性威脅(APT)以及后滲透階段的檢測發(fā)現(xiàn)能力,進行縱深防御。
隱私與數(shù)據(jù)保護
世紀互聯(lián)使用世界領(lǐng)先的加密方法、協(xié)議和算法來保護客戶數(shù)據(jù)在其基礎(chǔ)架構(gòu)中的傳輸安全和存儲機密性。為了充分保護客戶云計算環(huán)境的安全,世紀互聯(lián)采用了多種安全保護技術(shù)和手段。我們在與客戶進行項目前期技術(shù)選型過程中,會充分調(diào)研客戶對于信息安全的要求,并制定符合客戶安全要求的云平臺信息安全方案,包括但不限于云平臺選型、安全組件的選型、安全策略的建議、網(wǎng)絡(luò)隔離的建議等。
我們制定了隱私保護政策,以保證個人數(shù)據(jù)與隱私的安全。在數(shù)據(jù)收集過程中,我們基于“最小化”的原則進行數(shù)據(jù)采集;我們給予員工及客戶授權(quán)、管理和刪除個人信息的權(quán)利,并向其告知數(shù)據(jù)使用途徑,保障其知情權(quán)和決定權(quán);同時,我們建立有完善的數(shù)據(jù)保護流程,最大限度保障數(shù)據(jù)安全。
人員培訓(xùn)
我們高度重視員工信息安全文化與意識的培養(yǎng),結(jié)合各崗位所面臨的信息安全風(fēng)險的差異,提供針對性培訓(xùn),涵蓋信息安全法規(guī)、理念、制度及技術(shù)等多個維度。集團對員工開展多種形式的信息安全培訓(xùn),包括數(shù)據(jù)與隱私保護相關(guān)培訓(xùn);在新員工入職培訓(xùn)項目中增設(shè)信息安全模塊;不定期針對信息安全相關(guān)法律法規(guī)開展專項培訓(xùn)等。
本年度,我們外聘安全專家為全體員工講解信息安全等級保護三級2.0要求,增強員工信息安全專業(yè)能力,員工信息安全受訓(xùn)比例達100%。
與合作伙伴共贏
世紀互聯(lián)擁有多元的業(yè)務(wù)合作伙伴,致力于與供應(yīng)商建立共贏互惠的合作關(guān)系。我們嚴格落實責(zé)任采購,積極識別并防控供應(yīng)鏈各環(huán)節(jié)風(fēng)險,助力全產(chǎn)業(yè)鏈共同構(gòu)建一個開放、互利的合作環(huán)境。
閉環(huán)采購管理
世紀互聯(lián)嚴格遵守國家法律法規(guī)及業(yè)內(nèi)相關(guān)規(guī)定,通過《采購管理規(guī)定》《供應(yīng)商管理細則》《采購人員行為規(guī)定》等制度明確采購各環(huán)節(jié)職責(zé)分工、規(guī)范采購人員行為、嚴格把控合作供應(yīng)商質(zhì)量,落實閉環(huán)的采購管理。
本年度,世紀互聯(lián)進一步優(yōu)化供應(yīng)商準入管理,通過“標準準入”和“快速準入”的區(qū)分,實現(xiàn)了供應(yīng)商管理效率的提升。我們進一步完善了針對不達標供應(yīng)商的分類機制,將其分類為整改供應(yīng)商、不合格供應(yīng)商、暫停合作供應(yīng)商以及供應(yīng)商黑名單,以便更有針對性地幫助供應(yīng)商解決問題。
與此同時,我們還搭建了供應(yīng)商關(guān)系管理(SRM)系統(tǒng)。通過SRM系統(tǒng),我們可以實現(xiàn)線上供應(yīng)商尋源、供應(yīng)商認證及供應(yīng)商全生命周期管理等功能,加強采購過程的可視化和可追溯化。
截止報告期末,我們共擁有在庫供應(yīng)商2,623家,其中包括港澳臺地區(qū)供應(yīng)商5家、其他國家地區(qū)供應(yīng)商5家。
可持續(xù)供應(yīng)鏈
世紀互聯(lián)致力于打造可持續(xù)的供應(yīng)體系,識別并防控采購各個環(huán)節(jié)可能發(fā)生的風(fēng)險,從供應(yīng)商入圍資質(zhì)審核、現(xiàn)場考察、內(nèi)部評估測試、入圍公示到入選等環(huán)節(jié)實施全鏈條審查模式,多維度評估考核供應(yīng)商綜合表現(xiàn)。
在保障采購需求、及時履行約定的同時,我們積極推動供應(yīng)商提升可持續(xù)發(fā)展水平。在供應(yīng)商管理的各工作流程中,我們有針對性地加入對供應(yīng)商ESG風(fēng)險的考量,重點關(guān)注其在環(huán)保低碳、信息安全、勞工權(quán)益、職業(yè)健康安全及廉潔誠信方面的表現(xiàn)。