信息安全管理体系
华利集团以高标准实施信息安全管控,保护公司业务和利益相关方免受诈欺、窃盗和其他信息安全事件的威胁。在董事会及执行管理层的监管下,我们构建了信息信息安全管理组织架构,由总经理担任「信息安全管理委员会」召集人,负责监督信息安全政策制定、实施的总体情况;「信息安全管理委员会」作为公司信息安全工作的最高领导决策机构,负责规划、制定与统筹信息安全治理制度,并由各事业处主管开展相关风险识别与管理工作,与「信息安全推行小组」共同组成信息安全管理体系,该体系适用于集团各事业群、分公司、工厂等所有员工,以构建全员参与的信息安全防护与预警能力。
信息安全管理组织架构
信息安全技术防护
网络纵深防御
我们从资产、数据、系统、网络到周边环境建构了多层次的防御机制,并建立了信息安全事件回报及响应平台,以及信息安全管理政策。我们建立MDR/EDR的端点防护和扫毒系统,对于所有服务器、工作站、个人电脑、笔记本等资产提供防保护;此外,我们还定期邀请外部信息安全专业厂商,对我们进行第三方渗透测试,确保应用系统和网络环境的安全,不断提升网络安全水平。
内部信息管理
针对内部信息管理,我们严格规范全体人员的工作流程以及他们的上网行为,包括导入深信服上网行为管理器,管理人员使用的网站、通讯软件、应用程序等方面的行为。针对关键数据的外发,我们使用 DLP软件(Data Loss Prevention)系统对文件进行加密,以及防止公司数据被移动式储存装置或第三方共享或存储。报告期内,我们不断优化数据泄露防范技术,导入SSLVPN帐号双因素认证和外网禁止访问功能,以及升级本地防火墙方案,以保护信息资产上的公司数据。
信息安全相关培训
为提升全体人员对于信息安全的防护意识,我们要求每一位新员工在入职培训中学习信息安全相关课程,另外信息安全部门也会通过每周信息安全会议、内部的钓鱼邮件演练及违规人员重点培训、每月各工厂发布信息安全通报等多种方式,加大信息安全培训和宣传力度,帮助员工了解信息安全知识、管控信息安全风险、提高专业人员的信息安全保护能力。 2024 年,我们进行多项信息安全培训,包括对新进员工、信息安全违规、系统管理、网络安全等多个范畴,合计160场次,覆盖公司内部所有员工,参与人次近2,000人次。
信息安全重点培训
信息安全事件通报机制
面对层出不穷、日新月异的网络攻击事件,集团建立”信息安全事件通报与应变平台”,让人员能在该平台回报与处理信息安全事件,已降低事件造成的危害。
我们制定并发布《信息安全事件管理作业程序》,将不同的信息安全事件依严重性分为四级,处理事件的优先权区分为:紧急、高、一般、低四个等级,并规定相应等级事件需要响应和通报的时间,构建了明确的通报流程和机制。
我们要求公司所有员工发现信息安全相关风险及事件时,及时根据该信息安全通报机制进行上报,确保所有信息安全相关事项能得到及时妥善的处理。
更多资讯
