企業管治 返回列表
IT 安全/網絡安全措施
為了確保公司運營的可持續性,本公司制定了信息安全、網絡安全和系統安全政策、制度、程序以及對應培訓,并且適用于全公司范圍。網絡安全政策由風險管理委員會制定,報董事會批準。
1. 通過對信息系統基本安全保護狀態的分析,公司針對海豐全球實時辦公軟件面臨的主要安全威脅采取了相應的安全機制,部署了網絡防火墻、應用防火墻、WAF、安全態勢感知等安全設備,對邊界防護進行控制。我們已經制定了IT安全制度、管理流程和檢查制度,包括但不限于IT基礎設施安全、網絡安全、服務器安全、數據安全、終端安全、漏洞管理、補丁管理、密碼策略、賬號權限管理等。管理流程體系包括物理機房安全管理制度、辦公環境安全管理制度軟件項目管理流程、EXCEL等表格控制系統、IT硬件及服務采購管理流程、網絡日常維護管理、安全防范及危機應對措施、用戶端計算機管理規定、網站建設管理流程、技術安全審核規則、海豐國際系統后臺數據維護流程等。
2. 我們建立了IT安全事件人員團隊,制定了應對措施和恢復流程。
3. 為了提高員工的信息安全意識,我們向員工不定期發布信息安全案例,為公司內所有員工提供與網絡安全相關的指導程序和意識培訓,并制定了電腦使用的安全措施。信息安全/網絡安全也是員工績效評估的一部分,包括紀律處分。
4. 我們對所有員工實施了IT與網絡安全政策和程序,以確保他們了解威脅問題以及信息安全/網絡安全的重要性,并且提供了以及明確的升級應對流程如果員工發現可疑情況,員工可以遵循該流程。我們制定了氣候變化風險的應對措施,建立了災備防范制度流程,并每年至少一次進行數據恢復測試演練。
5. 我們要求數據中心地理位置要求網絡資源豐富、IT人才聚集、從機場1小時可抵達、歷史上地震、洪水、臺風發生概率低等等。在安全物理環境方面,配備了電子門禁安全措施,以及防雷、防火、防水、防靜電、溫度控制、UPS等基礎設施,保障系統所需的運行環境。在安全計算環境與通信網絡方面,安全設備和應用系統通過HTTPS協議方式進行遠程管理,并且把系統劃分了不同的網絡區域,按照網絡區域和用途合理分配網絡地址資源。互聯網邊界部署防火墻進行有效隔離,可保障數據通信的完整性和保密性。
6. 每年至少一次,我們由外部專業機構對IT安全進行檢查,并根據檢查結果進行安全加固和優化。檢查內容主要包括系統漏洞掃描、Web漏洞掃描、Web滲透測試。
7. 我們制定了《信息技術安全檢查規程》、《用戶賬號管理流程》制度,并定期進行檢查。
我們將持續關注信息安全/網絡安全的發展,不斷改進和完善我們的制度和措施,以確保公司的信息安全和網絡安全。