我们持续关注信息安全和数据保护工作与动态，以合规性为基础，逐步完善信息安全架构，以应对多变的网络攻击方式，及时识别、预警、拦截、应对各类高风险信息安全事件。

集团数据中心交由外部数据服务机构托管，借助第三方专业的力量，有效保障系统稳定性和安全性，同时也凭借其的能源管理能力，在兼顾稳定性和安全性的同时还能减少自建数据中心的能耗。报告期内，我们未收到客户有关隐私与数据泄露的投诉。

信息安全管理制度

为了加大集团信息安全管理力度，我们制定了《信息安全管理制度》、《数据库运行管理规范》、《信息系统漏洞管理办法》、《突发信息网络事件应急预案》等信息安全管理制度，并逐步建立起贯穿数据安全全生命周期的管理体系。

防范化解数据丢失、泄露风险

公司制定了《突发信息网络事件应急预案》和应急机制，明确了事件分类分级和启动应急预案的条件，并定期修订数据泄露应急预案，以进行不断完善并保障其时效性。

报告期内，我们在信息系统上新增了技术手段，如医学事业部新增了加密、数据隐私保护的技术手段，进一步防范化解数据丢失与泄露风险。信息系统中发生的各类信息安全事件由信息安全领导小组负责工作的统一部署，人员、物资的统一调动，以及信息安全应急处理。

保障客户数据及隐私安全

我们制定了《华测检测隐私政策》，以保障用户可以访问、更新、更正和删除个人信息的权利，保证仅会在完成服务所需的必要期限内保留用户的个人信息，且除法律或主管部门的强制性要求和在隐私政策中明确的必要情景外不会与华测检测以外的任何公司、组织以及个人分享客户的个人信息。

客户数据及信息主要存贮 于集团实验室信息管理系 统（LIMS）中，LIMS 账户 设有专门的用户管理界面， 按用户类型区分不同的使 用权限。通过系统的角色 管理机制，我们对不同角 色的用户进行包括访问、 修改、删除数据或文件等 功能的分类定制，利用用 户和角色的交叉管理来实 现权限的精确控制。

CA 认证

我们对电子报告进行了签 章 加 密 和 CA 数 字 认 证。 CA 认证采取符合行业标准 的物理、电子和管理等方 面的安全防护措施，并建 立安全体系保障信息的存 储、使用、访问等过程中 的运营安全。

网络信息安全荣誉

报告期内，我们荣获造价 评估机构资质、顺利入选 云南省互联网协会移动 APP 安全技术支撑单位名 单、参与起草《基于云计 算技术的 IPv4-IPv6 业务互 通总体技术要求》通信行 业标准、入选国家工信部 首批数据安全产业专家委 和系列工作组成员，从专 业角度为保障客户隐私及 数据安全提供支撑。

员工信息安全培训

我们要求员工入职时签订《员工保守商业秘密协议书》，并在新员工入职一个月内组织一次 信息安全培训。我们在 E-learning 上开设《数据安全与隐私保护》《网络安全意识培训》等 有关信息安全与隐私保护的必修课程，提高员工对商业秘密、知识产权、个人隐私和客户数 据的保护意识和能力。

报告期内，华测认证推出了《数据安全管理培训——“GB/T 41479 信息安全技术网络数据 处理安全要求”理解与实施》系列讲座，帮助各企业提升数据安全管理水平。

信息安全审计

公司按照《信息安全管理制度》要求，每两年开展一次外部风险评估，聘请第三方专业信息 安全服务机构来对公司进行信息安全风险评估；并不定期对信息资产进行漏洞扫描与渗透测 试，以发现风险薄弱事项。

报告期内，我们在集团数据中心建立了数据库审计系统，对所有的数据库操作进行记录和审 计，保证非法修改可以溯源。同时，上线了安全感知平台，将所有的安全日志统一收集，进 行自动化关联分析，从而最大化防范化解数据及隐私安全风险。

我们逐步在全国范围内实施 ISO/IEC 27001 体系认证工作。截至目前，华测检测食品快检与 饲料产品线、子公司华测电子认证有限责任公司已获得 ISO/IEC 27001 信息安全管理体系认 证，CTI MALL、华测电子认证服务平台、上海华测艾普医学检验所有限公司 LIMS 系统通过 了国家信息系统安全等级保护三级认证。