安全穩定運營
安全穩定運營是世紀互聯的核心價值目標之一,其憑借全面的安全策略與技術手段,全力保障業務連續性與數據安全性。
運營安全與業務連續性
世紀互聯始終秉持為客戶提供高品質、可持續的互聯網基礎設施服務的宗旨,密切關注并有效應對業務運營中面臨的內外部風險,確保業務運行的安全性、穩定性與連續性。
在安全運營方面,我們首先將數據中心選址建設在遠離重大自然地理風險的區域,以最大程度預防自然災害對業務的影響。數據中心的設計嚴格參照《數據中心設計規范》(GB 50174-2017)中A級標準,并且符合網絡安全等級保護三級標準的物理環境安全要求。我們實施了嚴格的物理訪問控制措施,在數據中心及辦公區入口設置保安、配備智能閘機等系統,根據訪問授權嚴格控制出入權限。同時,實現數據中心內部及外圍區域的監控設施全覆蓋,確保安全無死角。
集團建立并有效運行業務連續性管理體系。我們制定并持續評估《業務連續性管理策略》《業務影響分析》和《業務連續性計劃》,根據實際需求進行適時更新,確保策略和程序的控制措施適當、充分、有效。我們對數據中心進行全面的業務影響分析和風險評估,確保關鍵業務在面臨重大安全事件、災難或中斷時能夠持續運行或在預期的時間內恢復至可接受的服務水平。同時,各業務單位制定符合自身經營活動和風險場景的《應急預案》,定期開展應急演練,并通過事后總結機制,不斷優化應急處理流程,保障業務連續性管理能力的持續提升。目前,我們主營業務所涉及的多場所已通過業務連續性管理體系(ISO 22301)認證。
網絡安全與隱私保護
世紀互聯憑借豐富的安全管理經驗,依托完善的網絡安全管理體系、嚴謹的數據保護制度要求、先進的網絡安全系統與風險管理程序,持續強化數據中心和云服務平臺的運營管理能力,為網絡安全與隱私保護提供堅實保障。
·管理架構和體系
世紀互聯嚴格遵守運營所在地網絡安全與隱私保護相關法律法規,持續加強管理體系的建設及落地,通過《網絡及信息系統管理規定》《信息安全管理要求》與《信息安全風險管理程序》等制度,明確各業務的網絡安全管理職責,為網絡安全日常實踐提供規范化指導依據。我們制定了適用于全集團的《隱私聲明》,闡明了可能收集的信息類型及性質、如何使用該等信息、信息的授權同意、如何保留、儲存和保護該等信息等內容,確保客戶隱私安全得到全方位保障。
集團建立了完善的信息安全管治架構,對信息安全工作(包括數據與隱私保護)進行監督和執行。董事會審計委員會監督集團定期報告中有關網絡安全事項的披露情況。集團的信息安全計劃由我們的首席信息安全官(CISO)進行監督,各業務和職能部門之間進行協作,并聽取管理層和董事會的意見。CISO 負責制定和執行集團的信息安全戰略,其主要目標是保護集團的信息和技術資產,包括對網絡威脅進行監控、報告、管理和補救。
集團積極開展信息安全與隱私保護相關認證工作,全面鞏固和提升集團信息安全防護能力。目前,集團已獲得了信息技術服務管理體系(ISO/IEC 20000)及信息安全管理體系(ISO/IEC 27001)認證,覆蓋全部業務類型 ;由世紀互聯運營的在線服務已獲得公有云個人信息保護管理體系(ISO/IEC 27018)認證。
集團依據安全方針和目標,定期組織內部審計,以管理要求符合性審查為核心,同時覆蓋包括運營管理、服務管理、信息安全及業務連續性管理在內的多個管理體系領域。此外,每年由外部專業機構開展第三方安全審計,旨在對年度內數據中心的運營管理情況給出客觀評價,排查并消除運營安全、數據安全隱患,持續提升經營管理的規范性和安全性。針對互聯網數據中心服務的安全性和可用性,我們已委托獨立第三方機構開展SOC 2 Type II鑒證審核。世紀互聯藍云已通過9項中國信息通信研究院可信云認證,并通過了由獨立第三方機構開展的SOC 1 Type II、SOC 2 Type II、SOC 3鑒證審核。
·措施保障
-
◇網絡安全
世紀互聯主要提供數據中心托管服務,即僅向客戶租賃IT設備托管空間和互聯網接入帶寬、鏈路,同時提供機房運維服務。服務器由客戶自行管理,不直接或間接接觸客戶服務器內的數據和信息。我們著重加強并提升機房物理安全防護,提供客戶IT設備穩定運行所依賴的物理環境,保障客戶IT設備的物理安全與運行安全。
針對網絡安全和網絡邊界防護方面,我們嚴格落實集團網絡安全管理和數據保護相關制度要求,確保及時、有效管控風險,保障集團網絡和數據資產的安全。
-
◇隱私保護
我們將數據保護措施嵌入產品和服務的開發過程中。我們開展隱私影響評估,通過部署私有云、數據加密、訪問控制、備份與恢復等多方面的措施,為產品和服務的開發提供一個高度安全、可控的數據存儲和處理環境。
我們制定適用于所有訪客的《個人信息采集告知書》,明確指出集團僅收集訪客管理所必需的個人信息,并承諾對收集、使用的信息嚴格保密,不泄露、篡改,不出售或者非法向他人提供;并將在訪客離開后主動刪除或安全處理相關信息。對于涉及例如客戶項目機密信息、個人敏感信息等機密或敏感數據,我們執行嚴格的訪問控制管理,以增強數據訪問的安全性。為了防止數據外泄,我們為員工辦公電腦設置了硬盤加密,安裝了數據防泄露軟件;第三方公司駐場必須配備集團內部筆記本電腦,使用內部分配賬號,其賬戶權限按最小權限進行分配。我們與具備數據銷毀專業資質的機構合作,對報廢IT設備中的存儲介質實施全面消磁、徹底清除及物理破壞,嚴范信息泄露。
·能力與文化建設
我們持續加強對員工網絡安全與隱私保護的意識和能力,結合不同崗位所面臨的差異性數據安全風險,提供針對性培訓,內容涵蓋信息安全法規、制度、理念及技術等多個維度。我們要求所有新入職員工均須完成信息安全專項培訓并通過考核。此外,集團進一步強化員工對網絡釣魚郵件的防范意識,定期發布釣魚郵件安全預警,開展全員釣魚郵件安全演練,整體提升集團網絡安全風險識別與應對能力。截至2024年末,集團全體員工網絡安全受訓比例達100%。
我們建立了內部員工舉報機制,員工可通過內部通訊軟件、郵件、電話等渠道,將發現的信息安全事件、漏洞、可疑內容上報至網絡與信息系統安全工作組,由工作組對上報內容和來源進行審核和處置。
世紀互聯設立業務合規經營與信息安全工作獎勵基金,旨在表彰和獎勵在業務合規經營與信息安全工作中做出突出貢獻的團體和個人。同時,對遲報、謊報、瞞報和漏報安全事件或者存在其他失職、瀆職行為的有關責任人,依據《網絡及信息系統安全工作考核與問責管理規定》給予相應的紀律處分,構成犯罪的,依法追究刑事責任。
負責任供應鏈
世紀互聯始終遵循國家法律法規及行業規范,按照《采購管理規定》《供應商管理細則》及《采購人員行為規范》等規章制度,清晰界定采購流程中的職責分配,嚴格規范采購人員的職業操守,并緊密監督合作供應商的產品交付質量,確保采購管理全鏈條的高質量運行。
截至2024年末,世紀互聯在庫供應商總數為3,133家。集團通過供應商關系管理(SRM)系統整合,實現了供應商全生命周期的數字化管理,覆蓋供應商尋源、準入審核、履約管理、協作溝通等關鍵環節,有效提升了采購管理流程的可視化和可追溯性。
集團建立了嚴謹的供應商管理流程:
◇在準入階段,我們通過科學的評價考核體系,對潛在供應商進行客觀公正的評價,確保合格供應商入圍;開展實地考察,對供應商的生產能力、設備狀況、質量管理流程等進行現場評估,以篩選優質供應商。
◇對于已有供應商,我們進行持續的監督和評估,定期開展綜合評估,涵蓋服務意識、產品質量、履約能力等多個方面,確保供應商始終符合集團的要求。
◇對于考核不達標的供應商,我們根據其考核問題及整改情況,將其分類為整改供應商、不合格供應商、暫停合作供應商及列入黑名單的供應商,以便更有針對性地幫助供應商解決問題。
我們制定并發布《供應商行為守則》,從商業道德、環境保護、人權、數據安全與隱私保護等多個維度對供應商進行規范和約束,要求所有供應商簽署并遵守。在確保滿足采購需求和合同履行約定的基礎上,我們將ESG風險考量納入供應商管理流程中,著重考量其在環保低碳、網絡安全與隱私保護、勞工權益、職業健康安全及廉潔誠信方面的表現,全力推動供應商提升可持續發展水平。本年度,集團針對重點供應商開展了涵蓋隱私與數據安全、廉潔和商業道德、環境保護等核心內容的專項培訓與交流,全面提升供應商可持續發展相關的認知水平及實踐能力。本年度,未發現供應商在商業道德、信息安全、員工權益、環境保護等方面存在的不合規行為。
