信息安全
益海嘉里重视信息安全与客户隐私保护,严格遵照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等国家相关法律,完善制度建设,制定了《信息安全管理制度》《信息系统漏洞与补丁规定》《渗透测试管理规定》《应用系统分级管理规定》等制度,并不定期修订,以确保当前制度符合国家法律和业务保护需求。
信息安全管理架构
益海嘉里基于集团战略发展和信息安全管理需求,建立了由董事会成员直接负责信息安全与网络安全管理工作、首席技术官监督相关工作落实情况的管理架构,并设立了信息安全委员会,委员会作为信息安全管理体系的核心决策与协调机构。信息安全小组负责规划信息安全的实施路径,制定并推动信息安全整体方针、目标和战略规划的落地。
信息安全管理体系
益海嘉里参照行业内最佳实践ISO 27001、NIST CSF等方法论,建立事前、事中、事后的信息安全防御体系,通过针对性的管理举措实现对技术的落地和管控 。每年开展IT专项内部审计,主要针对个人信息保护、业务系统、ITOT等方面,加强信息安全风险管控及规范执行效果。 公司已于2025年第三季度申请BSI颁发的ISO27001:2022认证,预计将于第四季度获取证书。
信息安全风险管理
为预防和应对重大信息安全事件,保障业务连续性,益海嘉里每年由IT基础设施部门负责对业务系统的数据做演练 。公司至少每年进行一次应急计划和事件响应程序测试,确保应急处置工作能够迅速、高效、有序地进行,并制定针对性的防范举措。 公司进行信息安全漏洞分析,持续检测外部最新漏洞,并在内部通报、跟进修复结果。
培训宣贯
益海嘉里已建立相对完善的信息安全培训体系,对新入职新员工进行信息安全意识培训,并不定期对全体员工开展线上线下信息安全主题类培训。每年面向全员开展至少一次钓鱼实战演练,不断提高员工信息安全保护意识。 公司要求全体员工在发现可疑行为时应及时上报IT部门或信息安全人员。
为保障信息安全,确保信息系统的韧性,益海嘉里结合实际情况,根据相关法律法规,特制订《信息安全政策》。
相关推荐
