企业管治 返回列表
IT 安全/网络安全措施
为了确保公司运营的可持续性,本公司制定了信息安全、网络安全和系统安全政策、制度、程序以及对应培训,并且适用于全公司范围。网络安全政策由风险管理委员会制定,报董事会批准。
1. 通过对信息系统基本安全保护状态的分析,公司针对海丰全球实时办公软件面临的主要安全威胁采取了相应的安全机制,部署了网络防火墙、应用防火墙、WAF、安全态势感知等安全设备,对边界防护进行控制。我们已经制定了IT安全制度、管理流程和检查制度,包括但不限于IT基础设施安全、网络安全、服务器安全、数据安全、终端安全、漏洞管理、补丁管理、密码策略、账号权限管理等。管理流程体系包括物理机房安全管理制度、办公环境安全管理制度软件项目管理流程、EXCEL等表格控制系统、IT硬件及服务采购管理流程、网络日常维护管理、安全防范及危机应对措施、用户端计算机管理规定、网站建设管理流程、技术安全审核规则、海丰国际系统后台数据维护流程等。
2. 我们建立了IT安全事件人员团队,制定了应对措施和恢复流程。
3. 为了提高员工的信息安全意识,我们向员工不定期发布信息安全案例,为公司内所有员工提供与网络安全相关的指导程序和意识培训,并制定了电脑使用的安全措施。信息安全/网络安全也是员工绩效评估的一部分,包括纪律处分。
4. 我们对所有员工实施了IT与网络安全政策和程序,以确保他们了解威胁问题以及信息安全/网络安全的重要性,并且提供了以及明确的升级应对流程如果员工发现可疑情况,员工可以遵循该流程。我们制定了气候变化风险的应对措施,建立了灾备防范制度流程,并每年至少一次进行数据恢复测试演练。
5. 我们要求数据中心地理位置要求网络资源丰富、IT人才聚集、从机场1小时可抵达、历史上地震、洪水、台风发生概率低等等。在安全物理环境方面,配备了电子门禁安全措施,以及防雷、防火、防水、防静电、温度控制、UPS等基础设施,保障系统所需的运行环境。在安全计算环境与通信网络方面,安全设备和应用系统通过HTTPS协议方式进行远程管理,并且把系统划分了不同的网络区域,按照网络区域和用途合理分配网络地址资源。互联网边界部署防火墙进行有效隔离,可保障数据通信的完整性和保密性。
6. 每年至少一次,我们由外部专业机构对IT安全进行检查,并根据检查结果进行安全加固和优化。检查内容主要包括系统漏洞扫描、Web漏洞扫描、Web渗透测试。
7. 我们制定了《信息技术安全检查规程》、《用户账号管理流程》制度,并定期进行检查。
我们将持续关注信息安全/网络安全的发展,不断改进和完善我们的制度和措施,以确保公司的信息安全和网络安全。