信息安全
益海嘉里重視信息安全與客戶隱私保護,嚴格遵照《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《中華人民共和國數據安全法》等國家相關法律,完善制度建設,制定了《信息安全管理制度》《信息系統漏洞與補丁規定》《滲透測試管理規定》《應用系統分級管理規定》等制度,并不定期修訂,以確保當前制度符合國家法律和業務保護需求。
信息安全管理架構
益海嘉里基于集團戰略發展和信息安全管理需求,建立了由董事會成員直接負責信息安全與網絡安全管理工作、首席技術官監督相關工作落實情況的管理架構,并設立了信息安全委員會,委員會作為信息安全管理體系的核心決策與協調機構。信息安全小組負責規劃信息安全的實施路徑,制定并推動信息安全整體方針、目標和戰略規劃的落地。
信息安全管理體系
益海嘉里參照行業內最佳實踐ISO 27001、NIST CSF等方法論,建立事前、事中、事后的信息安全防御體系,通過針對性的管理舉措實現對技術的落地和管控 。每年開展IT專項內部審計,主要針對個人信息保護、業務系統、ITOT等方面,加強信息安全風險管控及規范執行效果。 公司已于2025年第三季度申請BSI頒發的ISO27001:2022認證,預計將于第四季度獲取證書。
信息安全風險管理
為預防和應對重大信息安全事件,保障業務連續性,益海嘉里每年由IT基礎設施部門負責對業務系統的數據做演練 。公司至少每年進行一次應急計劃和事件響應程序測試,確保應急處置工作能夠迅速、高效、有序地進行,并制定針對性的防范舉措。 公司進行信息安全漏洞分析,持續檢測外部最新漏洞,并在內部通報、跟進修復結果。
培訓宣貫
益海嘉里已建立相對完善的信息安全培訓體系,對新入職新員工進行信息安全意識培訓,并不定期對全體員工開展線上線下信息安全主題類培訓。每年面向全員開展至少一次釣魚實戰演練,不斷提高員工信息安全保護意識。 公司要求全體員工在發現可疑行為時應及時上報IT部門或信息安全人員。
為保障信息安全,確保信息系統的韌性,益海嘉里結合實際情況,根據相關法律法規,特制訂《信息安全政策》。
相關推薦
