信息安全

信息安全管理体系

中瑞集团以高标准实施信息安全管控，，
，，保护公司业务和利益相关方免受诈欺、、窃盗和其他信息安全事件的威胁。。在董事会及执行管理层的监管下，，，，我们构建了信息安全管理组织架构
，，，由总经理担任「信息安全管理委员会」召集人
，
，，，负责监督信息安全政策制定、、实施的总体情况；我们设立「信息安全管理委员会」作为公司信息安全工作的最高领导决策机构
，
，，负责规划、、、
、制定与统筹信息安全治理制度，，，，并由各事业处主管开展相关风险识别与管理工作，，与「信息安全推行小组」共同组成信息安全管理体系
，，该体系也适用于集团各事业群、
、
、分公司、、、工厂等所有员工，，，以构建全员参与的信息安全防护与预警能力。。

信息安全管理组织架构

信息安全技术防护

网络纵深防御

我们从资产、、、、数据、
、、系统、、网络到周边环境建构了多层次的防御机制，，并建立了信息安全事件回报及响应平台，，，，以及信息安全管理政策。。。。我们建立MDR/EDR的端点防护和扫毒系统，，对于所有服务器、、、工作站、、个人电脑、、笔记本等资产提供防保护；此外
，，我们还定期邀请外部信息安全专业厂商
，，对我们进行第三方渗透测试，
，，，确保应用系统和网络环境的安全，
，
，，不断提升网络安全水平。。

内部信息管理

针对内部信息管理，，，我们严格规范全体人员的工作流程以及他们的上网行为，，包括导入深信服上网行为管理器
，，，管理人员使用的网站、
、、通讯软件、
、、应用程序等方面的行为。
。针对关键数据的外发，，，我们使用 DLP软件（Data Loss Prevention）系统对文件进行加密，，以及防止公司数据被移动式储存装置或第三方共享或存储。。
。。2024，，我们不断优化数据泄露防范技术，，，导入SSLVPN帐号双因素认证和外网禁止访问功能，
，以及升级本地防火墙方案，，
，，以保护信息资产上的公司数据。。。。

信息安全技术防护

信息安全相关培训

为提升全体人员对于信息安全的防护意识，，，
，我们要求每一位新员工在入职培训中学习信息安全相关课程
，，，，另外信息安全部门也会通过每周信息安全会议、、、内部的钓鱼邮件演练及违规人员重点培训
、、每月各工厂发布信息安全通报等多种方式，，，，加大信息安全培训和宣传力度，，，
，帮助员工了解信息安全知识、、、、管控信息安全风险、、
、、提高专业人员的信息安全保护能力
。。。。 2024 年，，，我们进行多项信息安全培训，，，，包括对新进员工、、信息安全违规
、、、系统管理、、、、网络安全等多个范畴
，，合计160场次，，，覆盖公司内部所有员工，，参与人次近2,000人次。。。

信息安全重点培训

信息安全事件通报机制

面对层出不穷、
、
、日新月异的网络攻击事件，，，，本集团建立信息安全事件通报与应变平台，，，
，让人员能在该平台回报与处理信息安全事件，，已降低事件造成的危害。。。
。

我们制定并发布《信息安全事件管理作业程序》，，，将不同的信息安全事件依严重性分为四级，，处理事件的优先权区分为
：紧急、、、、高
、
、、、一般、
、
、低四个等级，，并规定相应等级事件需要响应和通报的时间，，，构建了明确的通报流程和机制
。
。
。

我们要求公司所有员工发现信息安全相关风险及事件时，，
，，及时根据该信息安全通报机制进行上报，
，
，确保所有信息安全相关事项能得到及时妥善的处理
。。。。

更多资讯

• 商业道德
• 风险和机遇管理