本集團持續嚴格遵循《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》和《中華人民共和國民 法典》等重要法律法規,制定《信息系統數據備份與恢復管理制度》《信息安全事件管理制度》《信息系統應急預 案》等覆蓋集團全體員工的內部管理制度,以確保信息安全得到充分保障。本集團下屬中燕物業嚴格遵守《北 京市物業管理條例》等相關規定,堅守客戶隱私保護原則,並與員工簽訂保密協議和服務承諾書,以確保在物 業管理服務中全面保障客戶的隱私安全。
本集團執行管理層承擔關鍵職責,負責審定安全建設規劃和管理制度,協調及指揮信息安全事件的應急響應,並監督信息安全管理工作的有效執行。信息管理部門的負責人和技術人員負責信息安全工作的具體執行,並且設置開放的渠道允許員工上報其工作過程中發現的信息安全風險和隱患。本集團高度重視信息安全工作,將信息安全納入員工績效評估考核,違反信息安全或網絡安全的員工將受到績效評級下調的處罰。
本集團持續實施並優化已有的安全防護措施,確保操作系統根據安全掃描結果定期更新安全補丁。為進一步防 範IT系統中斷和網絡攻擊,本集團制定《北控城市資源集團信息系統應急預案》以及數據異地備份策略,建立有 效的應急響應機制,每年定期進行兩次數據恢復測試。此外,本集團積極開展第三方漏洞分析,通過漏洞掃描服務VSS對應用系統進行漏洞掃描、分析報告生成,並發送至應用系統廠商進行漏洞修復,同時通過企業主機安全HSS服務發現主機操作系統安全漏洞並修復,以提高應對信息系統安全緊急事件的處理能力,確保業務的 連續性與穩定性。 同時,我們不定期給員工發送安全提示郵件,提醒防範病毒、釣魚、欺詐等郵件,時刻保持警惕,有效防範信息風險。
在技術手段方面,集團在身份驗證、訪問控制、 安全審計、入侵防範、惡意防範、數據完整性等多個方面進行了技術升級,改善服務器安全管理。
• 身份驗證:通過統一身份認證、強密碼策略、多因 素認證等,實現用戶身份識別,提高身份驗證的安 全性。
• 訪問控制:對生產系統、測試系統、開發系統的服 務器進行了單獨的區域劃分、邊界隔離。通過堡壘 機對用戶行為進行訪問控制,按最小授權原則進行 權限的分配和使用。
• 安全審計:通過堡壘機的審計功能,基於用戶身份系統唯一標識,從用戶登錄系統開始,全程記錄用 戶在系統的操作行為,監控和審計用戶對目標資源 的所有操作,實現對安全事件的實時發現與預警。
• 入侵防範:配置基線檢查策略,及時發現系統漏洞 並進行更新。啟用入侵檢測,可檢查賬戶暴力破 解、進程異常、網站後門、異常登錄、惡意進程等 入侵行為,及時發現資產中的安全威脅、實時掌握 資產的安全狀態。啟用Web應用防火牆,識別並 阻斷網頁木馬上傳、命令╱代碼注入、敏感文件訪 問、第三方應用漏洞攻擊、惡意爬蟲掃瞄等攻擊。
• 惡意防範:啟用惡意程序隔離查殺,對識別出的後門、木馬、蠕蟲等惡意程序,提供自動隔離查殺,自動識別處理系統存在的安全風險。
• 數據完整性:對數據庫數據進行每日備份,對服務 器進行定期備份。
為規範部門內部各系統負責人對應用系統資源的訪問審核流程,進一步提升員工的信息安全意識,本集團針對雲堡壘機解決方案開展深入剖析與應用場景探討的培訓,旨在實現權限的精細控制,確保資源操作全程留痕,有效審計用戶操作行為,並對潛在的事故問題進行追溯與定責。同時,通過強化流程,降低違規操作、 濫用職權等非法運作的風險,確保信息安全無虞,實現完全可追溯的信息安全問責機制,全面提升信息安全管理水平。
本集團系統託管於擁有ISO 27001信息安全管理體系認證和ISO 27017雲服務信息安全管理體系認證的第三方 雲平台,為集團的數據信息安全提供進一步保障。此外,本集團定期接受外部審計師對與財務審計相關的IT基 礎設施和信息安全管理系統開展的數字審計與IT審計,並根據審計結果持續優化管理水平,確保合規性與安全性。
