信息安全
益海嘉里重視信息安全與客戶隱私保護(hù),嚴(yán)格遵照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)數(shù)據(jù)安全法》等國(guó)家相關(guān)法律,完善制度建設(shè),制定了《信息安全管理制度》《信息系統(tǒng)漏洞與補(bǔ)丁規(guī)定》《滲透測(cè)試管理規(guī)定》《應(yīng)用系統(tǒng)分級(jí)管理規(guī)定》等制度,并不定期修訂,以確保當(dāng)前制度符合國(guó)家法律和業(yè)務(wù)保護(hù)需求。
信息安全管理架構(gòu)
益海嘉里基于集團(tuán)戰(zhàn)略發(fā)展和信息安全管理需求,建立了由董事會(huì)成員直接負(fù)責(zé)信息安全與網(wǎng)絡(luò)安全管理工作、首席技術(shù)官監(jiān)督相關(guān)工作落實(shí)情況的管理架構(gòu),并設(shè)立了信息安全委員會(huì),委員會(huì)作為信息安全管理體系的核心決策與協(xié)調(diào)機(jī)構(gòu)。信息安全小組負(fù)責(zé)規(guī)劃信息安全的實(shí)施路徑,制定并推動(dòng)信息安全整體方針、目標(biāo)和戰(zhàn)略規(guī)劃的落地。
信息安全管理體系
益海嘉里參照行業(yè)內(nèi)最佳實(shí)踐ISO 27001、NIST CSF等方法論,建立事前、事中、事后的信息安全防御體系,通過(guò)針對(duì)性的管理舉措實(shí)現(xiàn)對(duì)技術(shù)的落地和管控 。每年開展IT專項(xiàng)內(nèi)部審計(jì),主要針對(duì)個(gè)人信息保護(hù)、業(yè)務(wù)系統(tǒng)、ITOT等方面,加強(qiáng)信息安全風(fēng)險(xiǎn)管控及規(guī)范執(zhí)行效果。 公司已于2025年第三季度申請(qǐng)BSI頒發(fā)的ISO27001:2022認(rèn)證,預(yù)計(jì)將于第四季度獲取證書。
信息安全風(fēng)險(xiǎn)管理
為預(yù)防和應(yīng)對(duì)重大信息安全事件,保障業(yè)務(wù)連續(xù)性,益海嘉里每年由IT基礎(chǔ)設(shè)施部門負(fù)責(zé)對(duì)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)做演練 。公司至少每年進(jìn)行一次應(yīng)急計(jì)劃和事件響應(yīng)程序測(cè)試,確保應(yīng)急處置工作能夠迅速、高效、有序地進(jìn)行,并制定針對(duì)性的防范舉措。 公司進(jìn)行信息安全漏洞分析,持續(xù)檢測(cè)外部最新漏洞,并在內(nèi)部通報(bào)、跟進(jìn)修復(fù)結(jié)果。
培訓(xùn)宣貫
益海嘉里已建立相對(duì)完善的信息安全培訓(xùn)體系,對(duì)新入職新員工進(jìn)行信息安全意識(shí)培訓(xùn),并不定期對(duì)全體員工開展線上線下信息安全主題類培訓(xùn)。每年面向全員開展至少一次釣魚實(shí)戰(zhàn)演練,不斷提高員工信息安全保護(hù)意識(shí)。 公司要求全體員工在發(fā)現(xiàn)可疑行為時(shí)應(yīng)及時(shí)上報(bào)IT部門或信息安全人員。
為保障信息安全,確保信息系統(tǒng)的韌性,益海嘉里結(jié)合實(shí)際情況,根據(jù)相關(guān)法律法規(guī),特制訂《信息安全政策》。
可持續(xù)發(fā)展
相關(guān)推薦
