信息安全

中化国际制定《信息安全管理办法》和《保密管理办法》,不断健全信息安全管理和保密管理体系、组织架构和考核系统,落实保密工作责任制,严防信息泄漏事故。

公司尊重并保护利益相关方的商业秘密、数据资料和敏感信息。未获得相关方同意以及公司准许,严禁向任何其他组织或个人分享、转让或披露保密信息。公司与所有供应商、合作伙伴和信息技术人员签署保密协议,保护合作方商业秘密,保障客户信息安全。

网络安全方面,公司于2022年制定发布《网络安全管理规定》《网络安全事件应急预案》等7 项制度和1 项标准,严格遵守各项标准流程,构建科学的网络安全体系,并采取IRP(信息资源规划)进行漏洞管理,做好网络安全事件预防和及时响应。

风险评估:

● 开展信息系统风险评估,推进信息系统渗透测试、漏洞扫描工作,提升信息系统安全防护能力;
● 开展网络安全风险评估,检测网络架构、边界防护、访问控制、入侵防范等层面的威胁情况,提升基础设施安全防范能力;
● 开展信息安全风险评估,检测信息资产脆弱性和威胁性,制定解决办法与应急措施,并及时核查整改落实情况;
● 定期对系统进行漏洞扫描,经过风险评估、验证测试后对漏洞进行修补或升级数据维护。

数据维护:

● 实现服务器整体备份,备份系统实时保留近14 天的应用系统整机备份数据,磁带备份每季度归档,保留最近一年的归档磁带,数据库等内容的备份时间由系统管理员进行设置,数据库备份等通过服务器备份保存;
● 完成灾备机房建设,通过裸光纤进行重要数据备份,采取堡垒机、防火墙等进行备份服务器安全防护,仅指定备份管理员拥有操作权限认证审核;

意识提升:

● 全员签署《个人网络安全承诺书》;
● 面向全员开展网络安全培训,组织钓鱼邮件演练;
● 面向研发保密人员开展网络安全专项培训;
● 开展商业秘密保护专项培训,组织保密宣传教育系列活动;

认证审核:

● 完成ISO 27001 管理体系年度复审;
● 通过工业企业网络安全综合防护平台项目技术部分验收测试,形成统一的工控安全防护方案;
● 通过信息安全等保二级7 项、等保三级复核1 项;
● 通过“蔚蓝行动”与“磐石行动”网络安全演习。