資訊安全管理政策
2025年10月22日 15:43来源:万物云
萬物雲空間科技服務股份有限公司
資訊安全管理政策
版本號:V1.0
萬物雲的資訊安全政策均公開發佈於公司官網。我們承諾將持續改進資訊安全系統,確保資料的完整性與保護,監測並回應資訊安全威脅,為全體員工明確資訊安全個人責任,並為協力廠商供應商設定資訊安全要求。
一、目的
萬物雲高度重視資訊安全及隱私保護工作,嚴格遵守《中華人民共和國資料安全法》《中華人民共和國網路安全法》《中華人民共和國個人資訊保護法》等法律法規。我們構建資訊安全與隱私保護管理體系,發佈並落實《萬物雲資訊安全管理辦法》、《應用安全管理制度》、《個人資訊合規管理制度》等多項政策制度,根據業務與最新的監管要求每年持續對資訊安全措施和制度進行更新。
二、管治架構
萬物雲首席資訊安全官是公司管理層成員,統籌指導與監督資訊安全與隱私保護工作,負責制定和維護公司的資訊安全願景、戰略和規劃,以保護公司資訊資產和客戶資訊。
萬物雲的資訊安全管理組織涵蓋四個層級:科技決策委員會、資訊安全職能部門、各業務部門資訊安全代表、以及各業務部門的員工。確保資訊安全責任機制落實到公司全員,一旦發生資訊安全事件公司將會及時回應。
三、適用範圍
萬物雲參照ISO27001標準評估體系在內部發佈了一系列的資訊安全管理制度,分為一階文件(安全性原則與管理方針)與二階檔(制度與規範),範圍覆蓋萬物雲全體員工及其他服務人員(包括兼職和外包員工),涵蓋公司及其附屬公司的所有業務活動。同時適用于我們的供應商及合作夥伴。
萬物雲資訊安全管理制度中明確規範全體員工與外部協力廠商的資訊安全責任與義務,以確保責任機制得到落實。萬物雲員工手冊中列明資訊安全責任,並要求全體員工簽署資訊安全責任書。在萬物雲與供應商的合同、服務協定中,包含明確的資訊安全條款、資料保護與保密要求。
四、技術措施
萬物雲實施完善的管理措施與縱深的安全技術防禦體系為公司的資訊系統與資料提供安全防護機制,能夠即時監測與回應各種資訊安全威脅,同時防止資料資產和敏感資訊被篡改、洩露、丟失,以確保其完整性。具體技術措施包括:
1. 人員帳號管理方面:各應用系統帳號管理接入公司統一的帳號管理平臺,落實用戶帳號的安全管理要求;所有帳號的申請均應在工作審批流程中完成審批流程,並由運維人員遵照執行,並且保留記錄以備審計;員工離職時,會及時在系統中停用其帳號;
2. 終端安全方面:通過終端安全檢測與回應提供預防、檢測和應對各種安全威脅(如病毒、惡意軟體、勒索軟體等),增強組織內終端的安全性,保護資料資產和敏感資訊;
3. 主機安全方面:通過資產清點、風險發現、入侵偵測、記憶體後門、基線合規檢查等安全功能,全面識別並管理主機中的資訊資產,即時監測主機中的風險並阻止非法入侵行為,降低當前伺服器面臨的主要安全風險;
4. 應用安全方面:通過Web應用防火牆(WAF)為互聯網發佈的應用系統提供應用層攻擊流量檢測和攔截,如常見的SQL 注入、XSS、CSRF等 OWASP-TOP10 漏洞攻擊,同時,提供應用層存取控制;
5. 網路安全方面:通過雲防火牆,對南北向流量和東西向流量進行存取控制(含規則優先順序管理)、入侵防禦,並提供日誌審計(規則命中日誌、操作日誌)等功能,實現對雲上資產的網路安全防護與管理。
五、認證與審核
2025年度,萬物雲已通過外部機構的資訊安全管理體系(ISO27001)與隱私保護管理體系(ISO27701)的審核(詳見附件二和附件三)。
六、 政策審視及修訂
本政策經執行管理層審議批准,並已向董事會報告。公司將根據國家法律法規的變化、公司運營的實際情況以及績效考核的結果,由萬物雲數據與信息技術中心與ESG辦公室於每年4月20日前啟動更新檢視,6月30日之前完成對本政策的檢討與更新發佈,以確保其持續有效性與適用性。
萬物雲空間科技服務股份有限公司
證券與公司治理部-ESG辦公室
數據與信息技術中心
二〇二五年十月二十日
附件一:《萬物雲空間科技服務股份有限公司資訊安全工作制度》
萬物雲空間科技服務股份有限公司
資訊安全工作制度
一、資訊安全相關的業務連續性計畫(BCP)
萬物雲制定發佈的《資訊安全業務連續性管理規範》明確了關於資訊系統、後臺資料中心和關鍵業務場景的資訊安全應急回應與恢復流程,並根據網路攻擊、資料設施故障、雲服務故障等不同的資訊安全風險場景來制定應對預案。公司使用雲服務商提供的預設備份策略服務(每7天採用快照的方式進行一次全備份),並根據不同的業務系統採取差異化的備份策略。應急回應時間為24小時內,每年開展災難恢復測試。
二、資訊安全性漏洞分析
萬物雲由資訊安全職能部門負責定期開展資訊安全性漏洞分析工作,包括:
1、 每季度針對運營業務系統與伺服器的安全掃描與加固;
2、 每年對IT基礎設施安全基線配置檢查;
3、 每年在公司範圍內開展滲透測試多次;
4、 每年開展模擬攻擊演練一次;
5、業務系統上線前安全檢查;
同時,對國家互聯網應急中心發佈的漏洞預警資訊,資訊安全職能部門組織相關的業務部門或產品團隊進行漏洞分析,如存在相關漏洞則根據公司資訊安全管理要求進行整改,並跟蹤修復情況。
三、資訊系統的內部審計
資訊安全職能部門每年依據ISO27001標準、國家資訊系統等級保護等要求在內部開展一次資訊安全內部合規審計工作,內容涵蓋:資訊安全管理、策略、存取控制、漏洞管理、資料保護等方面,並對內部審計發現的問題組織相關部門進行整改。
四、資訊系統的獨立外部審計
在外審方面,每年委託協力廠商開展資訊安全審核,於2025年度通過國家網路安全等級保護認證,以及DNV依據ISO 27001的獨立認證。
五、事件升級與溝通機制
公司建立內部資訊安全事件管理機制,日常使用安全工具主動監控各類外部安全威脅,對發現的異常安全告警進行分析排查,對發現的問題跟蹤整改。另外,面向全員發佈使用的IT報事平臺與資訊安全工作組的郵箱、聯繫方式,確保員工發現安全事件、可疑行為、系統漏洞等情況時可以及時上報。資訊安全職能部門收到資訊後會根據事件類型組織內部相關部門協同處理。
萬物雲積極與資訊安全監管部門(如:網安、通管局)保持溝通聯繫,依據商業合同約定保持與供應商、合作夥伴的溝通。一旦發生資料洩露或資訊安全事件後,會針對具體事件進行故障分析,及時修復發現的漏洞,並採取應急措施將影響降低到最小程度。
未來的預防措施:在管理方面加強人員意識培訓和日常安全巡檢,技術方面完善、升級安全防護工具。
六、員工資訊安全意識培訓
公司重視員工的資訊安全意識培訓,內部每年開展釣魚郵件測試並結合典型的資訊安全事件進行宣傳。每年組織一次覆蓋全體員工的資訊安全意識考試,內容包括日常帳號安全、密碼管理、釣魚郵件識別、資料加密等,並要求全員通過。同時在一線業務部門還會加入客戶隱私資訊保護的考試內容,落實差異化安排。
萬物雲在上一財報期內公司沒有發生資料洩露事件。
附件二:公司於2024年7日26日取得資訊安全管理體系認證(ISO27001),附圖如下。
附件三:公司於2024年7日26日取得隱私保護管理體系認證(ISO27701),附圖如下。
