信息安全管理体系

在华测集团信息安全管理体系中，最高级别的监管者是信息安全领导小组。该小组设立在集团董事会的战略与并购委员会下，由集团行政总裁担任组长，IT分管副总裁担任副组长。其他成员包括大区行政总裁和信息资源管理部负责人，共同负责全面统筹集团的信息安全工作。集团信息安全工作小组组长由信息安全领导小组任命，成员由系统工程师、信息安全工程师、网络工程师以及各职能部门、事业部、分支机构的信息安全员组成，负责信息安全的落地执行。

华测检测食品快检与饲料产品线、华测电子认证有限责任公司、华测风雪检测技术有限公司（简称华测风雪）等 6 家子公司已获得 ISO/IEC 27001 信息安全管理体系认证。华测风雪是以网络安全技术服务为核心的网络安全检测机构，其任务在于深入贯彻网络安全等级保护工作，提高华测集团信息安全管理能力，协助全社会各行业客户构建牢固的网络安全防护体系。

报告期内，公司新增了《信息安全管理体系管理手册》《信息安全适用性说明（SOA）》《信息安全风险评估与处置管理控制程序》等 25 个ISMS管理体系文件，公司信息资源管理部通过了ISO 27001信息安全管理体系认证，华测在线商城通过国家等级保护测评三级。

信息安全流程和基础设施

为强化公司信息安全事件管理，确保安全事件控制策略的实施，全面提升信息安全事件管理水平，以保障业务系统的畅通，公司制定了两项关键文件：《信息安全事件与连续性管理制度》和《突发信息网络事件应急预案》。

• 在网络边界和网络区域采用下一代防火墙实施隔离；
• 部署web应用防火墙对对外发布的应用程序进行保护；
• 在网络DMZ区域部署服务器主机，并为其安装企业版防病毒软件；
• 在数据中心部署了安全感知平台和潜伏威胁探针，用于监测整体数据中心的网络流量并进行安全威胁处理；
• 部署堡垒机，运维人员通过堡垒机对服务主机进行运维，实现全面跟踪、控制、记录和操作过程回放，以协助内控工作的事前规划、事中监控、违规行为响应、事后合规报告以及事故追踪回放；
• 部署数据库审计系统，对Lims等数据库的操作行为进行有效地审计和监控，以防止非法违规操作、越权访问和数据泄露破坏等威胁。

这些措施有助于构建一个坚固的信息安全防线，提高公司对潜在威胁的识别和应对能力，保障信息系统的安全运行。

信息安全风险管理及目标

公司按照《信息安全管理制度》要求，每两年开展一次外部风险评估，每年开展一次内部风险评估。我们深入了解了信息及相关资产所面临的威胁、脆弱性以及安全风险，并进一步制定了信息及相关资产、威胁、脆弱性、风险的残余处置计划等，以确保公司的信息安全得到持续有效地管理和保护。

我们在集团数据中心建立了数据库审计系统，对所有的数据库操作进行记录和审计，保证非法修改可以溯源。此外，集团还上线了安全感知平台，将所有的安全日志统一收集，进行自动化关联分析，从而最大化防范化解数据及隐私安全风险。

• 全年造成重要业务因信息安全事件中断累计时长≤ 48 小时
• 全年造成非重要业务因信息安全事件中断累计时长≤ 72 小时
• 全年四级以上的信息泄露事件为 0
• 信息安全控制总绩效评价 95%

信息安全能力提升

在过去的一年中，公司信息资源管理部共成功开展了 24 次培训，总计培训时长达 38 小时。培训内容广 泛涵盖了信息安全领域的多个方面，包括但不限于信 息安全风险评估、ISO27001标准、ISO27001内审员 培训、法规培训（涵盖网络安全法、数据安全法、个人信息保护法）、开发安全、ChatGPT应用、代码审查和静态分析以及安全编程实践等。

特别针对公司新入职员工，我们通过E-Learning平台 提供了两项关键培训课程，分别是《关联你我的制度 -信息资源相关》和《华测网络安全意识培训》。这 将有助于新员工更深入地了解公司的制度和提高网络安全意识，以更好地融入和贡献于公司的信息资源管 理体系。

报告期内，公司信息资源管理部 1 名员工获得信息安全风险评估（GB/T 20984-2022）专项技能培训的结业证书，1 名员工获得数据安全评估师证书，3 名员工获得软件能力成熟度模型培训证书。