華測(cè)檢測(cè)致力于構(gòu)建完善的信息安全管理體系，嚴(yán)格保護(hù)客戶與公司數(shù)據(jù)，確保業(yè)務(wù)運(yùn)營(yíng)的可靠性與可持續(xù)性。

  信息安全治理  

華測(cè)集團(tuán)戰(zhàn)略與ESG委員會(huì)是信息安全的最高決策機(jī)構(gòu)，戰(zhàn)略與ESG委員會(huì)下設(shè)信息安全領(lǐng)導(dǎo)小組，由集團(tuán)行政總裁擔(dān)任組長(zhǎng)，大區(qū)行政總裁和信息資源管理部負(fù)責(zé)人作為組員，共同負(fù)責(zé)全面統(tǒng)籌集團(tuán)信息安全管理工作。信息安全領(lǐng)導(dǎo)小組下設(shè)信息安全工作小組，工作小組組長(zhǎng)由信息安全領(lǐng)導(dǎo)小組任命，成員由系統(tǒng)工程師、網(wǎng)絡(luò)安全工程師、網(wǎng)絡(luò)工程師以及各職能部門、事業(yè)部、分支機(jī)構(gòu)的信息安全員組成，負(fù)責(zé)信息安全的落地執(zhí)行。

  信息安全管理措施  

信息安全政策

公司制定了《信息安全管理體系管理手冊(cè)》《信息安全管理制度》《信息安全適用性說明（SOA）》《信息安全風(fēng)險(xiǎn)評(píng)估與處置管理控制程序》等ISMS管理體系文件，制定并公開發(fā) 布了《數(shù)據(jù)保護(hù)政策》 ，對(duì)信息安全、網(wǎng)絡(luò)安全、隱私保護(hù)等內(nèi)容做出了詳細(xì)規(guī)定，確保所有員工均可以在內(nèi)部及外部獲得公司信息安全政策和程序。 根據(jù)公司規(guī)定，員工如有違反《信息安全管理制度》中所述規(guī)章條例的，可根據(jù)違章情節(jié)與嚴(yán)重程度對(duì)該員工給予相應(yīng)處理，具體處理措施依據(jù)集團(tuán)《員工違紀(jì)管理制度》《員工 手冊(cè)》執(zhí)行。

信息安全培訓(xùn)宣貫

公司持續(xù)加強(qiáng)員工信息安全意識(shí)培訓(xùn)與宣貫，通過定期開展全員釣魚郵件演練，幫助員工識(shí)別和防范網(wǎng)絡(luò)釣魚攻擊，提升整體安全防范能力。同時(shí)，針對(duì)信息安全工作人員，公司組織了專項(xiàng)技能培訓(xùn)，強(qiáng)化其在威脅監(jiān)測(cè)、應(yīng)急響應(yīng)等方面的專業(yè)能力。此外，公司還通過內(nèi)部宣傳、案例分享等形式，常態(tài)化宣貫信息安全政策與最佳實(shí)踐，確保每位員工都能在日常工作中踐行信息安全要求，共同筑牢公司信息安全防線。

公司通過E-Learning平臺(tái)為新入職員工提供了《關(guān)聯(lián)你我的制度-信息資源相關(guān)》《華測(cè)網(wǎng)絡(luò)安全意識(shí)培訓(xùn)》等信息安全培訓(xùn)課程兩項(xiàng)關(guān)鍵培訓(xùn)課程，有助于新員工更深入地了解公司的制度和提高網(wǎng)絡(luò)安全意識(shí)，以更好地融入和貢獻(xiàn)于公司的信息資源管理體系。

報(bào)告期內(nèi)，公司信息安全培訓(xùn)與應(yīng)急演練覆蓋全體員工，信息安全培訓(xùn)共計(jì)1,050.04小時(shí)。

可疑情況上報(bào)流程

公司嚴(yán)格執(zhí)行信息安全崗位責(zé)任制，實(shí)行領(lǐng)導(dǎo)負(fù)責(zé)制和信息安全員負(fù)責(zé)制。員工在發(fā)現(xiàn)信息安全事件時(shí)，應(yīng)如實(shí)記錄事件經(jīng)過，保存相關(guān)日志，并及時(shí)通過電話或短信逐級(jí)上報(bào)至信息安全領(lǐng)導(dǎo)小組。

  信息安全流程和基礎(chǔ)設(shè)施  

信息安全與隱私保護(hù)體系

為強(qiáng)化公司信息安全事件管理，確保安全事件控制策略的實(shí)施，全面提升信息安全事件管理水平，公司已構(gòu)建了健全的數(shù)據(jù)中心邊界防護(hù)體系，具體措施包括但不限于：

• 在網(wǎng)絡(luò)邊界和區(qū)域?qū)嵤┫冗M(jìn)的隔離技術(shù)；
• 部署應(yīng)用防護(hù)系統(tǒng)，保護(hù)對(duì)外發(fā)布的應(yīng)用程序；
• 部署安全感知平臺(tái)，監(jiān)測(cè)全網(wǎng)流量并進(jìn)行安全威脅處理等。

這些措施有助于構(gòu)建一個(gè)堅(jiān)固的信息安全防線，提高公司對(duì)潛在威脅的識(shí)別和應(yīng)對(duì)能力，保障信息系統(tǒng)的安全運(yùn)行。

關(guān)鍵信息系統(tǒng)與硬件設(shè)備備份

為保障數(shù)據(jù)的安全性和業(yè)務(wù)的連續(xù)性，公司制定了嚴(yán)密的備份策略，結(jié)合不同的業(yè)務(wù)需求和重要性，采用多種備份介質(zhì)和技術(shù)手段，確保數(shù)據(jù)備份的全面性、及時(shí)性和可靠性。

在備份技術(shù)和介質(zhì)方面，公司采用了專業(yè)的備份一體 機(jī)，針對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)如實(shí)驗(yàn)室管理系統(tǒng)和MyCTI，實(shí) 施實(shí)時(shí)備份，確保在系統(tǒng)運(yùn)行過程中數(shù)據(jù)得到及時(shí)保護(hù)，防止數(shù)據(jù)丟失。 對(duì)于一般性業(yè)務(wù)場(chǎng)景， 備份一體機(jī)每日?qǐng)?zhí)行完整備份， 確保數(shù)據(jù)狀態(tài)的完整保存。 此外， 關(guān)鍵數(shù)據(jù)被同步至異地存儲(chǔ)，增強(qiáng)數(shù)據(jù)安全性，確保在極端情況下具備恢復(fù)能力。

消費(fèi)者隱私保護(hù)

公司制定的《數(shù)據(jù)安全管理辦法》中明確了消費(fèi)者信息處理的全流程規(guī)范，包括數(shù)據(jù)分類分級(jí)、權(quán)限管理、訪問控制等，以確保信息處理活動(dòng)合法合規(guī)。

同時(shí)，公司采用先進(jìn)的技術(shù)防護(hù)與數(shù)據(jù)加密手段，持續(xù)深化員工日常工作過程中的信息安全與隱私保護(hù)意識(shí)，以確保消費(fèi)者信息安全。報(bào)告期內(nèi)，公司未發(fā)生任何侵犯消費(fèi)者隱私的事件，未發(fā)生任何信息泄露事件。

事件響應(yīng)

為強(qiáng)化司公信息安全事件管理，確保安全事件控制策略的實(shí)施，全面提升信息安全事件管理水平，以保障業(yè)務(wù)系統(tǒng)的暢通，公司制定了兩項(xiàng)關(guān)鍵文件：《信息安全事件與連續(xù)性管理制度》《突發(fā)信息網(wǎng)絡(luò)事件應(yīng)急預(yù)案》，并每年進(jìn)行信息安全應(yīng)急演練，測(cè)試公司事件響應(yīng)流程，確保公司應(yīng)急預(yù)案及事件響應(yīng)流程的合理性，確保信息系統(tǒng)在面臨突發(fā)事件時(shí)能在較短時(shí)間內(nèi)恢復(fù)正常使用。

信息安全認(rèn)證

華測(cè)集團(tuán)信息資源管理部、華測(cè)電子認(rèn)證有限責(zé)任公 司等已通過ISO/IEC 27001信息安全管理體系認(rèn)證，華 測(cè)檢測(cè)認(rèn)證集團(tuán)北京有限公司已獲信息安全服務(wù)資質(zhì)認(rèn)證，華測(cè)在線商城、實(shí)驗(yàn)室管理系統(tǒng)、華測(cè)電子認(rèn)證服務(wù)平臺(tái)等通過國(guó)家等級(jí)保護(hù)測(cè)評(píng)。

第三方漏洞分析與模擬黑客攻擊

2024年，我們積極邀請(qǐng)專業(yè)的第三方安全服務(wù)機(jī)構(gòu)，對(duì)公司在互聯(lián)網(wǎng)上發(fā)布的應(yīng)用系統(tǒng)和網(wǎng)站進(jìn)行全面的滲透測(cè)試和安全檢測(cè)。同時(shí)，我們也對(duì)公司內(nèi)網(wǎng)的信息資產(chǎn)進(jìn)行全面的安全檢測(cè)，發(fā)現(xiàn)并及時(shí)整改存在的安全漏洞和隱患，以降低其對(duì)公司的影響。

為確保安全性，我們授權(quán)第三方安全服務(wù)機(jī)構(gòu)采用工具和人工相結(jié)合的方式，基于APT攻擊路徑的安全評(píng)估，深度檢測(cè)安全隱患。這一過程覆蓋了公司的內(nèi)外網(wǎng)，路徑不受限制。通過進(jìn)行紅隊(duì)檢測(cè)攻擊，我們及時(shí)發(fā)現(xiàn)了信息系統(tǒng)中存在的安全隱患，并展開了相應(yīng)的安全漏洞整改和升級(jí)工作。

  信息安全風(fēng)險(xiǎn)管理  

為全面了解信息資產(chǎn)的威脅和薄弱點(diǎn)，更好地掌握組織的風(fēng)險(xiǎn)狀況，我們進(jìn)行了信息安全風(fēng)險(xiǎn)評(píng)估工作。這項(xiàng)工作為加強(qiáng)風(fēng)險(xiǎn)管理與信息安全建設(shè)提供了重要的基礎(chǔ)信息。通過風(fēng)險(xiǎn)評(píng)估，我們深入了解了信息及相關(guān)資產(chǎn)所面臨的威脅、脆弱性以及安全風(fēng)險(xiǎn)。我們進(jìn)一步制定了信息及相關(guān)資產(chǎn)、威脅、脆弱性、風(fēng)險(xiǎn)的殘余處置計(jì)劃等，以確保公司的信息安全得到持續(xù)有效地管理和保護(hù)。

我們?cè)诩瘓F(tuán)數(shù)據(jù)中心建立了數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，對(duì)所有的數(shù)據(jù)庫(kù)操作進(jìn)行記錄和審計(jì)，保證非法修改可以溯源。此外，集團(tuán)還上線了安全感知平臺(tái)，將所有的安全日志統(tǒng)一收集，進(jìn)行自動(dòng)化關(guān)聯(lián)分析，從而最大化防范化解數(shù)據(jù)及隱私安全風(fēng)險(xiǎn)。

  信息安全指標(biāo)與目標(biāo)  

在2024年度，公司成功避免了任何嚴(yán)重的信息安全事 件，未發(fā)生任何信息泄露事件。 所有信息安全措施均嚴(yán) 格遵循相關(guān)法規(guī)和標(biāo)準(zhǔn)，確保信息安全管理達(dá)到預(yù)期目標(biāo)。