La empresa estableció un sistema de gestión integral para la seguridad de la información y la protección de la privacidad, incorporando las políticas de protección de la privacidad y los esfuerzos relacionados en la gestión general de riesgos y cumplimiento en toda la empresa. Se realizaron periódicamente auditorías internas y externas sobre el cumplimiento de la política de privacidad para garantizar la aplicación efectiva de las políticas de privacidad de la empresa. En 2023, toda nuestra infraestructura informática y sistemas de información han obtenido las certificaciones ISO 27001 e ISO 27701. Para garantizar el funcionamiento eficaz del sistema, llevamos a cabo auditorías internas periódicas y revisiones normativas anuales, y nos sometimos a auditorías por parte de organizaciones externas.
Gestión de las emergencias
La empresa adopta un conjunto de medidas de respuesta y protección de la seguridad de la información en todo el proceso: esfuerzos preventivos rigurosos antes de los incidentes, respuesta proactiva durante los incidentes y gestión rápida de los incidentes. La empresa formuló el Plan de Respuesta a Emergencias de Seguridad de la Información y un proceso de notificación de problemas de seguridad de la información para garantizar la gestión oportuna de las emergencias de ciberseguridad. Cada año se realiza al menos una prueba de penetración en todos los sistemas de información del Grupo, y se garantiza el análisis de vulnerabilidades por parte de terceros y la rectificación basada en los resultados. En 2023, se identificaron 263 vulnerabilidades en los sistemas, las cuales han sido totalmente rectificadas o cuentan con un plan de remediación en marcha, sin afectar a ningún cliente o empleado interno. Durante el año no se produjeron incidentes de violación de la privacidad.
Desarrollo de capacidades
En cuanto a la formación sobre seguridad de la información para los empleados, la empresa envió más de diez tuits a lo largo del año a través del correo electrónico y de la cuenta oficial de LONGi en WeChat, difundiendo conocimientos sobre seguridad de la información a todos los empleados, para que traten con cautela las cuestiones relacionadas con la seguridad de la información. En los casos en que se produzcan incidentes de fuga de información por motivos personales de los empleados, la empresa aplicará las medidas disciplinarias correspondientes a la gravedad del incidente. Con el fin de reforzar la gestión de la seguridad de la información de los proveedores, integramos normas de gestión de la seguridad de la información de los proveedores en el Reglamento de Gestión de Proveedores, comprobamos y evaluamos las capacidades de seguridad de la información de los proveedores cuando fue necesario, y garantizamos los derechos e intereses de seguridad de la información de ambas partes mediante acuerdos de confidencialidad, supervisión de servicios, revisiones y otras medidas.