信息安全

日期:2025-06-12 作者:SMP 返回列表

数据安全管理

在数位化转型的浪潮下,华利实业集团深知数据资产是企业核心竞争力的重要组成部分。 2025年,集团进一步深化了数据安全治理架构,依据 ISO/IEC 27001 资讯安全管理体系标准,构建了全方位的防护网。


信息安全管理体系


在董事会及执行管理层的监管下,集团设有「信息安全管理委员会」与「信息安全推行小组」共同组成信息安全管理体系(如下图)。「信息安全管理委员会」作为公司信息安全工作的最高领导决策机构,负责规划、制定与统筹信息安全治理制度,由总经理担任该委员会召集人,负责监督信息安全政策制定、实施的总体情况,各事业处主管依照品牌和集团信息安全规范,开展相关风险识别与管理工作;「信息安全推行小组」负责各工厂及子公司的具体落实与稽核。




信息安全管理组织架构




数据安全策略

集团各营运工厂遵循当地数据安全相关法律法规,确保制度符合最新的法律法规,如:《数据安全法》、《个人信息保护法》及国际GDPR等要求,通过「信息安全管理委员会」管理阶层的支持与监督,我们制定和持续更新《HL-M-IT001资讯安全政策》、《HL-M-IT003集团资讯安全管理办法》、《HL-M-IT016数据生命周期管理程序》等信息安全制度文件。
我们定义数据生命周期共有6个阶段(如下图),包括:数据创建、数据保护、数据访问、数据传输、数据归档(备份)和数据回收(销毁)。我们在每个阶段进行了适当的监督和控制,强化数据传输、存储、使用等关键环节的安全防护,包括对数据的分类、分级、加密和记录数据处理事件,通过以下的措施确保数据在存储、处理和传输过程中的安全。

  • 对数据访问实施权限控制,非授权帐户不能访问机敏文件,以保障数据的完整与资讯系统的可靠性。
  • 建立(DLP)防数据泄漏保护机制,以检测和阻止任何异常的数据访问行为。
  • 对于关键业务核心数据,除了导入DLP保护外,也以防火墙设备区隔网段,以防止未授权的非法存取。
数据生命周期管理




审计与合规

集团定期开展内部信息安全审计,2025年还接受了Nike安全部门、Adidas JLA第三方专业机构的安全评估,并针对审计所见的风险订定改善期程,进行风险的管控与排除。




数据风险管理

多层次防御

我们从资产、数据、系统、网络到周边环境建构了多层次的防御机制(如图),所有服务器、工作站、个人电脑、笔记本等资产都安装MDR/EDR的端点防护系统,提供反入侵侦测与防毒服务;此外,我们还定期邀请信息安全专业厂商,对我们进行弱点扫描和渗透测试,发现漏洞后进行补强改进、以消除潜在风险,确保应用系统和网络环境的安全。



多层次防御








信息安全漏洞分析


我们每季度委托第三方对集团进行内部网络弱点扫描,以Nessus平台和厂商的渗透工具对特定厂区内网进行弱点扫描,扫描结果列为「紧急」和「高」风险优先管制排除。


风险说明:风险分级方法依据 CVSS 分数进行紧急、高、中、低、信息评分,分级表如下:





弱点风险等级分为紧急(Critical)、高(High)、中(Medium)、低(Low)四级,严重程度依次递减,详细叙述请参照如下:
紧急风险:可被轻易利用来进行入侵攻击取得系统权限、服务遭中断或重要机密资料及个资外泄之可能,在资安考量上是相当紧急需即刻改善处理之风险。
高风险:表示此问题若遭突破可能造成遭入侵攻击取得系统权限、服务遭中断或重要机密资料及个资外泄之可能,但利用之门槛较高故应限于合理期限内改善。
中风险:具可被间接利用于入侵之风险,如非机密性系统资料、使系统功能或服务不顺等,此等级之问题可依情况斟酌择期改善。
低风险:可能提供攻击者额外的系统或网络信息之潜在威胁,一般较少造成安全上之危害,但由于可能依不同之状况提升为中、高等级之风险,仍建议择期改善。
信息:此结果并不是漏洞信息,乃是依据扫描结果陈述客观的事实。

2025年扫描结果




数据加密

针对关键数据的外发,我们使用 DLP软件(Data Loss Prevention)系统对核心研发数据、财务数据及员工个资等文件进行加密,以及防止公司数据被移动式存储装置、第三方共享或存储。报告期内,我们优化数据泄露防范技术,对实施全生命周期加密存储与传输。


网络安全管理

我们严格规范全体人员的上网行为,各工厂都安装深信服上网行为管理器,通过该设备能限制人员使用的网站、通讯软件、应用程序,防止用户从未授权、具有恶意的网站或软件下载可疑程序,保障集团的内网安全。


存取控制

对关键系统采用SSLVPN帐号双因素认证和外网禁止访问功能,以及升级本地防火墙,以保护信息资产上的公司数据。


安全意识提升培训

为提升全体人员的信息安全意识,我们要求每一位新员工在入职培训中学习信息安全相关课程,另外信息安全部门也通过每周信息安全会议、内部的钓鱼邮件演练及违规人员重点培训、每月各工厂发布信息安全通报等多种方式,加大信息安全培训和宣传力度,帮助员工了解信息安全知识、控管信息安全风险、提高专业人员的信息安全保护能力。
2025 年,我们进行多项信息安全培训,对象包括对新进员工、信息安全违规人员、IT和系统开发人员,参与人次近300人次。


信息安全意识提升培训



信息安全违规()事件指标

面对层出不穷、日新月异的网络攻击事件,本集团建立”信息安全事件通报与应变平台”,让人员能在该平台即时回报与处理信息安全事件,降低事件造成的危害。
我们制定并发布《资讯安全事件管理作业程序》,将不同的信息安全事件依严重性分为五级,处理事件的优先权区分为:紧急、高、一般、低、预警五个等级,并规定相应等级事件需要响应和通报的时间,构建了明确的通报流程和机制。
我们要求公司所有员工发现信息安全相关风险及事件时,及时根据该信息安全通报机制进行上报,确保所有信息安全相关事项能得到及时妥善的处理。
2025年本集团未发生数据安全或泄露客户隐私的事件。
数据安全及隐私保护绩效指标表




人工智能安全管理

随着人工智能技术从探索阶段全面迈入企业核心业务场景,AI已深度融入研发、生产、供应链等关键环节。与此同时,算法偏见、数据泄露、模型攻击等安全风险日益凸显。全球监管框架加速落地——欧盟《人工智能法案》已分阶段生效,我国《人工智能安全治理框架》2.0版于2025年正式发布,ISO 42001国际标准亦为企业提供了系统性的AI治理指引。华利集团深刻认识到,只有在安全、可信的基石上推进智能化转型,才能真正释放AI技术的价值潜力。


华利集团在2026年已正式建立并发布《负责任的人工智能政策》,标志着集团在AI治理领域迈出了系统性的一步。该政策以公平无偏见、透明可解释、安全可控、隐私保护及问责可追溯为核心原则,明确禁止AI算法偏见、数据泄露及技术滥用等行为,并要求所有AI应用严格遵循ISO 42001标准及集团合规要求。在组织保障层面,集团设立了独立的AI安全伦理部门,直接向集团执行长汇报,统筹协调AI合规管控、风险评估与标准实施工作。该政策覆盖集团及所有子公司,贯穿设计开发、采购、生产、销售及上下游供应链合作伙伴的全业务流程,体现了华利集团在推动智能化转型过程中对负责任AI的高度重视与坚定承诺。



更多资讯