我们的服务

作为中国第三方检测与认证服务的开拓者和领先者,CTI华测检测为全球客户提供一站式检验、测试、校准、认证及技术服务。

行业解决方案

服务能力已全面覆盖到纺织服装及鞋包、婴童玩具及家居生活、电子电器、医学健康、食品及农产品……等行业的供应链上下游。

特色服务

全面保障品质与安全,推动合规与创新,彰显品牌竞争力,实现更高质量、更健康、更安全、更绿色的可持续发展。

可持续发展

信息安全与数据保护

发布时间:2022-04-24 浏览次数:1446

基于集团业务上的需要,我们接收或拥有了大量客户信息与数据。我们将保护客户信息、数据、隐私作为运营管理的重要内容,这也是对每一位商业合作伙伴的承诺。我们持续关注信息安全和数据保护工作与动态,以合规性为基础,逐步完善信息安全架构,以应对多变的网络攻击方式,及时识别、预警、拦截、应对各类高风险信息安全事件。目前,集团数据中心交由外部数据服务机构托管,借助第三方专业的力量,有效保障系统稳定性和安全性。

 

 

信息安全管理组织

 

为保障信息安全与数据保护工作实现有效落实,我们建立了由集团行政总裁担任组长,由集团IT分管副总裁担任副组长的信息安全领导小组,小组成员由各分区行政总裁、信息资源管理部负责人组成,该小组为集团信息安全工作的最高机构,负责研究、决策、协调集团信息安全工作的重大事项;我们还建立了由信息资源管理部负责人担任组长,IT部负责人担任副组长,由信息安全工程师、系统工程师、网络工程师以及各职能部门、事业部、分支机构信息安全员担任组员的信息安全工作小组,负责落实及反馈信息安全和数据安全的控制措施。具体管理架构与职责分工如下:

 


 

此外,每年,我们的信息安全风险评估小组都会开展对信息安全风险的评估工作,以适应信息资产的变化,确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施。

 

信息安全管理制度

 

加强集团信息安全的管理力度,并确保公司活动符合法律法规要求,杜绝数据遭受未授权的使用或泄露,我们制订了《数据库运行管理规范》《信息系统用户管理办法》《数据中心机房管理制度》等信息、数据安全管理制度,并根据数据安全风险程度,逐步采用全球领先的信息安全管理标准框架,建立起贯穿数据安全全生命周期的管理体系。

报告期内,我们还新制定了《信息系统漏洞管理办法》《软件正版化工作管理制度》等规章制度,并对《信息安全管理制度》《突发信息网络事件应急预案》的各章节进行了修订,保障我们的信息安全管理框架与时俱进,居领先位置。

 

应对数据丢失、泄露风险

 

我们根据《中华人民共和国网络安全法》《国家网络与信息安全事件应急预案》等法律法规,以“积极防御、综合防范,快速反应、联动处置”为工作原则,制订了《突发信息网络事件应急预案》和应急机制,明确了事件分类分级和启动应急预案的条件。信息安全领导小组对信息系统发生的各类信息安全事件的解决进行统一的领导,工作的统一部署,人员、物资的统一调动;信息安全工作小组根据自身的工作职责,进行应急处置。通过对当下网络安全环境的分析,我们认为数据泄露风险最高的情景是数据中心遭受来自黑客组织的渗透攻击。为预防此类风险的发生,我们采取了以下主动及被动的应对措施:

  • 在数据中心的网络边界部署防火墙、应用防火墙等安全设备,并对主机漏洞和应用系统的漏洞进行修复和安全加固,同时对重要数据进行实时和异地备份。
  • 部署网页防篡改系统、Web应用防护系统、运维安全审计系统、入侵防御系统等安全系统,对非法篡改、非法网络请求、威胁流量等不法攻击进行有效防护。
  • 日常的运维中,信息安全工作小组会对网络、重要系统和数据库的采集、存储、传输、使用、提供、销毁等环节进行逐一的安全排查,以防止黑客攻击和数据泄露等情况。
  • 定期开展针对数据管理人员的应急保障培训。我们亦会以公司为单位每年进行一次全方位的信息网络突发事件应急演练,提高应急处置能力。
  • 聘请外部专业机构在外部对公司内网进行信息安全的渗透测试和风险评估,以发现信息安全方面存在的不足和缺陷,加强公司的安全防护措施。

 

保护客户数据与隐私

 

访问权限

我们所拥有的客户数据主要存储于集团实验室信息管理系统(LIMS)中。LIMS的账户有专门的用户管理界面,按用户类型区分不同的使用权限。另外,通过系统的角色管理机制,我们对不同角色的用户进行包括访问、修改、删除数据或文件等功能的分类定制,利用用户和角色的交叉管理来实现权限的精确控制。

CA认证

为了加强保护客户隐私和信息安全的力度,我们对电子报告进行了签章加密和CA数字认证。CA认证采取符合行业标准的物理、电子和管理等方面的安全防护措施,并建立安全体系保障信息的存储、使用、访问等过程中的运营安全。

隐私政策

报告期内,我们制定并发布了《隐私政策》,其内容包括以下要点:

  • 访问与修改个人信息:我们保障用户可以访问、更新、更正和删除个人信息的权利
  • 最小化数据保留:我们仅会在完成服务所需的必要期限内保留用户的个人信息
  • 提供信息给第三方:除法律或主管部门的强制性要求和在隐私政策中明确的必要情景外,我们不会与华测检测以外的任何公司、组织和个人分享用户的个人信息

 

员工信息安全培训

 

我们在人员聘用时就明确了员工信息安全责任,要求员工入职时签订《员工保守商业秘密协议书》,并在新员工入职一个月内组织一次信息安全培训。在此基础上,我们会定期组织针对全体员工的信息安全培训和宣导,提高员工对商业秘密、知识产权、个人隐私和客户数据的保护意识和能力。

报告期内,我们新增两门有关信息安全与隐私保护的E-learning必修课:《数据安全与隐私保护》《网络安全意识培训》,该课程覆盖公司全部业务线和经营地点的所有员工。

 

信息安全审计

 

我们积极开展信息安全管理体系内外部审计工作。我们的《信息安全管理制度》要求每两年开展一次外部风险评估,报告期内,我们聘请了外部专业机构对公司进行信息安全风险评估,以发现风险薄弱事项。

此外,我们按照ISO/IEC 27001标准建设信息安全管理体系,目前,华测集团食品快检与饲料产品线与华测集团子公司华测电子认证有限责任公司已获得ISO/IEC 27001的认证。CTI MALL、华测电子认证服务平台、上海华测艾普医学检验所有限公司LIMS系统通过了国家信息系统安全等级保护三级认证。报告期内,我们启动了在全国范围内开展ISO/IEC 27001认证的规划工作,自2022年起逐步在全国范围内实施ISO/IEC 27001体系认证工作。

此外,2021年我们对一家软件开发外包供应商进行了信息安全方面的审查,报告期内,我们启动了供应商信息安全与隐私保护提升计划,预计2022年发布针对IT供应商的管理制度与措施,以推动IT供应商提升信息安全能力。