南宫NG28检测致力于构建完善的信息安全管理体系���,严格保护客户与公司数据���,确保业务运营的可靠性与可持续性。
信息安全治理
南宫NG28集团战略与ESG委员会是信息安全的最高决策机构���,战略与ESG委员会下设信息安全领导小组���,由集团行政总裁担任组长���,大区行政总裁和信息资源管理部负责人作为组员���,共同负责全面统筹集团信息安全管理工作。信息安全领导小组下设信息安全工作小组���,工作小组组长由信息安全领导小组任命���,成员由系统工程师���、网络安全工程师���、网络工程师以及各职能部门���、事业部���、分支机构的信息安全员组成���,负责信息安全的落地执行。
信息安全管理措施
信息安全政策
公司制定了《信息安全管理体系管理手册》《信息安全管理制度》《信息安全适用性说明(SOA)》《信息安全风险评估与处置管理控制程序》等ISMS管理体系文件���,制定并公开发 布了《数据保护政策》 ���,对信息安全���、网络安全���、隐私保护等内容做出了详细规定���,确保所有员工均可以在内部及外部获得公司信息安全政策和程序。 根据公司规定���,员工如有违反《信息安全管理制度》中所述规章条例的���,可根据违章情节与严重程度对该员工给予相应处理���,具体处理措施依据集团《员工违纪管理制度》《员工 手册》执行。
信息安全培训宣贯
公司持续加强员工信息安全意识培训与宣贯���,通过定期开展全员钓鱼邮件演练���,帮助员工识别和防范网络钓鱼攻击���,提升整体安全防范能力。同时���,针对信息安全工作人员���,公司组织了专项技能培训���,强化其在威胁监测���、应急响应等方面的专业能力。此外���,公司还通过内部宣传���、案例分享等形式���,常态化宣贯信息安全政策与最佳实践���,确保每位员工都能在日常工作中践行信息安全要求���,共同筑牢公司信息安全防线。
公司通过E-Learning平台为新入职员工提供了《关联你我的制度-信息资源相关》《南宫NG28网络安全意识培训》等信息安全培训课程两项关键培训课程���,有助于新员工更深入地了解公司的制度和提高网络安全意识���,以更好地融入和贡献于公司的信息资源管理体系。
报告期内���,公司信息安全培训与应急演练覆盖全体员工���,信息安全培训共计1,050.04小时。
可疑情况上报流程
公司严格执行信息安全岗位责任制���,实行领导负责制和信息安全员负责制。员工在发现信息安全事件时���,应如实记录事件经过���,保存相关日志���,并及时通过电话或短信逐级上报至信息安全领导小组。
信息安全流程和基础设施
信息安全与隐私保护体系
为强化公司信息安全事件管理���,确保安全事件控制策略的实施���,全面提升信息安全事件管理水平���,公司已构建了健全的数据中心边界防护体系���,具体措施包括但不限于���:
- 在网络边界和区域实施先进的隔离技术;
- 部署应用防护系统���,保护对外发布的应用程序;
- 部署安全感知平台���,监测全网流量并进行安全威胁处理等。
这些措施有助于构建一个坚固的信息安全防线���,提高公司对潜在威胁的识别和应对能力���,保障信息系统的安全运行。
关键信息系统与硬件设备备份
为保障数据的安全性和业务的连续性���,公司制定了严密的备份策略���,结合不同的业务需求和重要性���,采用多种备份介质和技术手段���,确保数据备份的全面性���、及时性和可靠性。
在备份技术和介质方面���,公司采用了专业的备份一体 机���,针对关键业务系统如实验室管理系统和MyCTI���,实 施实时备份���,确保在系统运行过程中数据得到及时保护���,防止数据丢失。 对于一般性业务场景���, 备份一体机每日执行完整备份���, 确保数据状态的完整保存。 此外���, 关键数据被同步至异地存储���,增强数据安全性���,确保在极端情况下具备恢复能力。
消费者隐私保护
公司制定的《数据安全管理办法》中明确了消费者信息处理的全流程规范���,包括数据分类分级���、权限管理���、访问控制等���,以确保信息处理活动合法合规。
同时���,公司采用先进的技术防护与数据加密手段���,持续深化员工日常工作过程中的信息安全与隐私保护意识���,以确保消费者信息安全。报告期内���,公司未发生任何侵犯消费者隐私的事件���,未发生任何信息泄露事件。
事件响应
为强化司公信息安全事件管理���,确保安全事件控制策略的实施���,全面提升信息安全事件管理水平���,以保障业务系统的畅通���,公司制定了两项关键文件���:《信息安全事件与连续性管理制度》《突发信息网络事件应急预案》���,并每年进行信息安全应急演练���,测试公司事件响应流程���,确保公司应急预案及事件响应流程的合理性���,确保信息系统在面临突发事件时能在较短时间内恢复正常使用。
信息安全认证
南宫NG28集团信息资源管理部���、南宫NG28电子认证有限责任公 司等已通过ISO/IEC 27001信息安全管理体系认证���,华 测检测认证集团北京有限公司已获信息安全服务资质认证���,南宫NG28在线商城���、实验室管理系统���、南宫NG28电子认证服务平台等通过国家等级保护测评。
第三方漏洞分析与模拟黑客攻击
2024年���,南宫NG28积极邀请专业的第三方安全服务机构���,对公司在互联网上发布的应用系统和网站进行全面的渗透测试和安全检测。同时���,南宫NG28也对公司内网的信息资产进行全面的安全检测���,发现并及时整改存在的安全漏洞和隐患���,以降低其对公司的影响。
为确保安全性���,南宫NG28授权第三方安全服务机构采用工具和人工相结合的方式���,基于APT攻击路径的安全评估���,深度检测安全隐患。这一过程覆盖了公司的内外网���,路径不受限制。通过进行红队检测攻击���,南宫NG28及时发现了信息系统中存在的安全隐患���,并展开了相应的安全漏洞整改和升级工作。
信息安全风险管理
为全面了解信息资产的威胁和薄弱点���,更好地掌握组织的风险状况���,南宫NG28进行了信息安全风险评估工作。这项工作为加强风险管理与信息安全建设提供了重要的基础信息。通过风险评估���,南宫NG28深入了解了信息及相关资产所面临的威胁���、脆弱性以及安全风险。南宫NG28进一步制定了信息及相关资产���、威胁���、脆弱性���、风险的残余处置计划等���,以确保公司的信息安全得到持续有效地管理和保护。
南宫NG28在集团数据中心建立了数据库审计系统���,对所有的数据库操作进行记录和审计���,保证非法修改可以溯源。此外���,集团还上线了安全感知平台���,将所有的安全日志统一收集���,进行自动化关联分析���,从而最大化防范化解数据及隐私安全风险。
信息安全指标与目标
在2024年度���,公司成功避免了任何严重的信息安全事 件���,未发生任何信息泄露事件。 所有信息安全措施均严 格遵循相关法规和标准���,确保信息安全管理达到预期目标。
粤公网安备 44030602000441号