測試服務

作為第三方檢測與認證服務的開拓者和領先者,CTI華測檢測為全球客戶提供一站式檢驗、測試、校準、認證及技術服務。

認證服務

服務能力已全面覆蓋到紡織服裝及鞋包、嬰童玩具及家居生活、電子電器、醫學健康、食品及農產品……等行業的供應鏈上下遊。

顧問輔導

CTI華測檢測針對永續經營,提供企業全面性的經驗、專業知識和全球一站式的解決方案;並透過客製化與結合內、外部的永續資源,有效降低企業經營永續的成本,彰顯企業的商業價值。

全球法規註冊服務

內涵台灣化學品登錄、全球化學品註冊、中國危害鑑定報告、全球GHS制度、醫療器械、日化品

可持續發展

維護數據安全

发布时间:2024-04-25 浏览次数:1543

信息安全管理體系

 

在華測集團信息安全管理體系中,最高級别的監管者是信息安全領導小組。該小組設立在集團董事會的戰略與并購委員會下,由集團行政總裁擔任組長,IT分管副總裁擔任副組長。其他成員包括大區行政總裁和信息資源管理部負責人,共同負責全面統籌集團的信息安全工作。集團信息安全工作小組組長由信息安全領導小組任命,成員由系統工程師、信息安全工程師、網絡工程師以及各職能部門、事業部、分支機構的信息安全員組成,負責信息安全的落地執行。

華測檢測食品快檢與飼料産品線、華測電子認證有限責任公司、華測風雪檢測技術有限公司(簡稱華測風雪)等 6 家子公司已獲得 ISO/IEC 27001 信息安全管理體系認證。華測風雪是以網絡安全技術服務爲核心的網絡安全檢測機構,其任務在于深入貫徹網絡安全等級保護工作,提高華測集團信息安全管理能力,協助全社會各行業客戶構建牢固的網絡安全防護體系。

報告期内,公司新增了《信息安全管理體系管理手冊》《信息安全适用性說明(SOA)》《信息安全風險評估與處置管理控制程序》等 25 個ISMS管理體系文件,公司信息資源管理部通過了ISO 27001信息安全管理體系認證,華測在線商城通過國家等級保護測評三級。

 

 

信息安全流程和基礎設施

 

爲強化公司信息安全事件管理,确保安全事件控制策略的實施,全面提升信息安全事件管理水平,以保障業務系統的暢通,公司制定了兩項關鍵文件:《信息安全事件與連續性管理制度》和《突發信息網絡事件應急預案》。

 

此外,公司已構建了健全的數據中心邊界防護體系,具體措施包括:

  • 在網絡邊界和網絡區域采用下一代防火牆實施隔離;
  • 部署web應用防火牆對對外發布的應用程序進行保護;
  • 在網絡DMZ區域部署服務器主機,并爲其安裝企業版防病毒軟件;
  • 在數據中心部署了安全感知平台和潛伏威脅探針,用于監測整體數據中心的網絡流量并進行安全威脅處理;
  • 部署堡壘機,運維人員通過堡壘機對服務主機進行運維,實現全面跟蹤、控制、記錄和操作過程回放,以協助内控工作的事前規劃、事中監控、違規行爲響應、事後合規報告以及事故追蹤回放;
  • 部署數據庫審計系統,對Lims等數據庫的操作行爲進行有效地審計和監控,以防止非法違規操作、越權訪問和數據洩露破壞等威脅。

這些措施有助于構建一個堅固的信息安全防線,提高公司對潛在威脅的識别和應對能力,保障信息系統的安全運行。

 

 

信息安全風險管理及目标

 

信息安全風險評估

公司按照《信息安全管理制度》要求,每兩年開展一次外部風險評估,每年開展一次内部風險評估。我們深入了解了信息及相關資産所面臨的威脅、脆弱性以及安全風險,并進一步制定了信息及相關資産、威脅、脆弱性、風險的殘餘處置計劃等,以确保公司的信息安全得到持續有效地管理和保護。

 

信息安全内部審計

我們在集團數據中心建立了數據庫審計系統,對所有的數據庫操作進行記錄和審計,保證非法修改可以溯源。此外,集團還上線了安全感知平台,将所有的安全日志統一收集,進行自動化關聯分析,從而最大化防範化解數據及隐私安全風險。

 

第三方漏洞分析與模拟黑客攻擊

公司積極邀請專業的第三方安全服務機構,對公司在互聯網上發布的應用系統和網站進行全面的滲透測試和安全檢測。同時,我們也對公司内網的信息資産進行了全面的安全檢測,發現并及時整改了存在的安全漏洞和隐患,以降低其對公司的影響。

爲确保安全性,我們授權第三方安全服務機構采用工具和人工相結合的方式,以模拟APT黑客的攻擊視角,深度檢測安全隐患。這一過程覆蓋了公司的内外網,路徑不受限制。通過進行紅隊檢測攻擊,我們及時發現了信息系統中存在的安全隐患,并展開了相應的安全漏洞整改和升級工作。

報告期内,公司邀請第三方漏洞分析次數爲三次,模拟黑客攻擊次數爲兩次。

 

信息安全總目标

  • 全年造成重要業務因信息安全事件中斷累計時長≤ 48 小時
  • 全年造成非重要業務因信息安全事件中斷累計時長≤ 72 小時
  • 全年四級以上的信息洩露事件爲 0
  • 信息安全控制總績效評價 95%

 

信息安全能力提升


在過去的一年中,公司信息資源管理部共成功開展了 24 次培訓,總計培訓時長達 38 小時。培訓内容廣 泛涵蓋了信息安全領域的多個方面,包括但不限于信 息安全風險評估、ISO27001标準、ISO27001内審員 培訓、法規培訓(涵蓋網絡安全法、數據安全法、個人信息保護法)、開發安全、ChatGPT應用、代碼審查和靜态分析以及安全編程實踐等。

特别針對公司新入職員工,我們通過E-Learning平台 提供了兩項關鍵培訓課程,分别是《關聯你我的制度 -信息資源相關》和《華測網絡安全意識培訓》。這 将有助于新員工更深入地了解公司的制度和提高網絡安全意識,以更好地融入和貢獻于公司的信息資源管 理體系。

報告期内,公司信息資源管理部 1 名員工獲得信息安全風險評估(GB/T 20984-2022)專項技能培訓的結業證書,1 名員工獲得數據安全評估師證書,3 名員工獲得軟件能力成熟度模型培訓證書。