公司搭建完善的信息安全与隐私保护管理体系,将隐私保护政策与相关工作的实施整合入全公司范围的风险与合规管理中,定期对隐私政策的合规性开展内外部审查工作,确保公司的隐私政策能够有效实施。2023年,公司所有的IT基础设施与信息系统均已通过ISO 27001与ISO 27701体系认证;为确保体系运转有效,公司每年定期开展内审和监管审核,并接受外部机构跟踪审核。
应急管理
公司实施事前严格防护、事中积极应对、事后快速处理信息安全应对及防护措施,制定《信息安全危机事件应急预案》及信息安全问题上报流程,确保突发网络安全事件能够及时得到处置。公司每年至少对全集团信息系统开展一次渗透测试,并督促对测试结果进行第三方漏洞分析和整改。2023年,公司累计发现系统漏洞263个,均已完整整改或制定整改计划且未对任何客户和内部员工产生影响。本年度,公司未发生隐私泄露事件。
能力建设
在提升员工信息安全意识方面,2023年公司通过邮件和办公公众号推送信息安全意识宣传材料10余次,面向全体员工普及信息安全知识,培训员工谨慎处理信息安全问题。针对员工因私人原因导致的资讯泄露事件,公司将会依据其严重程度实施相应的纪律惩戒。为加强供应商的信息安全管理,公司将供应商信息安全管理规范融入《供应商管理制度》中,必要时根据需要检查与评估供应商的信息安全履行能力,并通过保密协议、服务监视与评审等措施保障双方的信息安全权益。