南宫NG28检测认证集团股份有限公司(以下简称“南宫NG28检测”“公司”“南宫NG28”)深知用户数据保护的重要性���,将其视为企业责任的核心组成部分���,并承诺坚决维护每一位用户的个人信息安全与隐私权益。公司致力于实施严格的数据保护措施���,以减少因业务运营可能带来的隐私风险及负面影响���,并最大化提升用户数据保护的透明度与有效性。公司与全体员工携手���,共同为构建一个安全���、可信的数字环境而努力。
本政策全面覆盖并适用南宫NG28检测提供的所有服务及运营活动(包括供应商等合作伙伴)���,旨在明确南宫NG28如何收集���、使用���、存储���、共享及保护用户的个人信息。
治理
信息安全领导小组为最高级别的监管者。该小组设立在集团董事会的战略与并购委员会下���,由集团行政总裁担任组长。其他成员包括大区行政总裁和信息资源管理部负责人���,共同负责全面统筹集团的信息安全工作。集团信息安全工作小组组长由信息安全领导小组任命���,成员由系统工程师���、信息安全工程师���、网络工程师以及各职能部门���、事业部���、分支机构的信息安全员组成���,负责信息安全的落地执行。
信息资源管理部是隐私问题的责任部门���,员工在遇到任何隐私问题或疑虑时可与该部门联系。信息资源管理部通过加密技术保护数据传输与存储���,实施访问控制以限制数据访问权限���,并定期对系统安全进行内外部审计。同时���,协助数据主体行使权利���,如访问���、更正或删除其信息���,并提供技术支持以响应数据泄露等紧急事件���,确保用户隐私得到充分保护。本政策由信息资源管理部负责解释。
公司将数据保护系统全面纳入集团范围的风险与合规管理体系之中。对内���,公司确保所有可能处理个人信息或就个人信息做出决定的成员���,均须严格遵守隐私政策规定���,在数据的收集���、使用���、存储和销毁等各个环节中���,采取必要的风险防控措施���,以保障数据主体的隐私权益。信息安全工作小组通过定期的风险评估���、合规审查���、第三方漏洞分析与模拟黑客攻击等措施���,将数据保护融入到集团范围的风险与合规管理体系中。对外���,公司要求供应商等合作伙伴签署《供应商行为准则》���,其中包括数据保护议题���,并通过定期开展ESG审核���,落实供应商数据保护行为。公司致力于构建一个全面���、系统���、有效的数据保护机制���,确保集团业务活动的合法性与合规性。
承诺
1)合规���:
公司将严格遵守《中华人民共和国个人信息保护法》等国内外关于个人信息保护的法律法规���,确保个人信息处理活动的合法性���、正当性和必要性���,尊重并保护数据主体的合法权益。
2)透明���:
公司将以清晰���、易懂的方式向数据主体披露个人信息处理的目的���、方式���、范围及其享有的权利���,确保数据主体的知情权得到充分保障。
3)安全性
公司将采取一切合理且必要的技术和管理措施���,确保个人信息在收集���、使用���、存储及销毁过程中的安全性���,防止数据泄露���、篡改或滥用。
4)培训与教育���:
公司将定期对处理个人信息的员工进行数据保护培训���,提升其法律意识和专业能力���,确保个人信息处理活动的合规性和安全性。
5)权利保障���:
公司尊重并保障数据主体对其个人信息的控制权���,包括但不限于访问权���、更正权���、删除权及限制处理权等���,确保数据主体能够便捷地行使这些权利。
6)持续改进���:
公司将不断审视并优化数据保护政策和实践���,以满足新的数据保护挑战和法规要求���,持续提升用户数据保护水平。
零容忍政策
公司坚决执行数据保护零容忍政策���,对内部员工及合作供应商一视同仁。严禁任何违反个人信息保护规定的行为���,包括但不限于非法收集���、滥用���、泄露或未经授权处理个人信息。一旦发现违规行为���,立即启动调查程序���,采取纠正措施恢复数据原状���,并对违规者实施严厉惩戒���,包括但不限于纪律处分���、终止合作���、法律追责。
审计
公司每两年开展一次外部风险评估���,每年开展一次内部风险评估。公司数据中心建立了数据库审计系统���,对所有的数据库操作进行记录和审计���,保证非法修改可以溯源。此外���,集团还上线了安全感知平台���,将所有的安全日志统一收集���,进行自动化关联分析���,从而最大化防范化解数据及隐私安全风险。
南宫NG28检测认证集团股份有限公司
2024年8月
粤公网安备 44030602000441号 