本集团持续严格遵循《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》和《中华人民共和国民 法典》等重要法律法规,制定《信息系统数据备份与恢复管理制度》《信息安全事件管理制度》《信息系统应急预 案》等覆盖集团全体员工的内部管理制度,以确保信息安全得到充分保障。本集团下属中燕物业严格遵守《北 京市物业管理条例》等相关规定,坚守客户隐私保护原则,并与员工签订保密协议和服务承诺书,以确保在物 业管理服务中全面保障客户的隐私安全。
本集团执行管理层承担关键职责,负责审定安全建设规划和管理制度,协调及指挥信息安全事件的应急响应,并监督信息安全管理工作的有效执行。信息管理部门的负责人和技术人员负责信息安全工作的具体执行,并且设置开放的渠道允许员工上报其工作过程中发现的信息安全风险和隐患。本集团高度重视信息安全工作,将信息安全纳入员工绩效评估考核,违反信息安全或网络安全的员工将受到绩效评级下调的处罚。
本集团持续实施并优化已有的安全防护措施,确保操作系统根据安全扫描结果定期更新安全补丁。为进一步防 范IT系统中断和网络攻击,本集团制定《北控城市资源集团信息系统应急预案》以及数据异地备份策略,建立有 效的应急响应机制,每年定期进行两次数据恢复测试。此外,本集团积极开展第三方漏洞分析,通过漏洞扫描服务VSS对应用系统进行漏洞扫描、分析报告生成,并发送至应用系统厂商进行漏洞修复,同时通过企业主机安全HSS服务发现主机操作系统安全漏洞并修复,以提高应对信息系统安全紧急事件的处理能力,确保业务的 连续性与稳定性。 同时,我们不定期给员工发送安全提示邮件,提醒防范病毒、钓鱼、欺诈等邮件,时刻保持警惕,有效防范信息风险。
在技术手段方面,集团在身份验证、访问控制、安全审计、入侵防范、恶意防范、数据完整性等多个方面进行了技术升级,改善服务器安全管理。
• 身份验证:通过统一身份认证、强密码策略、多因 素认证等,实现用户身份识别,提高身份验证的安 全性。
• 访问控制:对生产系统、测试系统、开发系统的服 务器进行了单独的区域划分、边界隔离。通过堡垒 机对用户行为进行访问控制,按最小授权原则进行 权限的分配和使用。
• 安全审计:通过堡垒机的审计功能,基于用户身份系统唯一标识,从用户登录系统开始,全程记录用 户在系统的操作行为,监控和审计用户对目标资源 的所有操作,实现对安全事件的实时发现与预警。
• 入侵防范:配置基线检查策略,及时发现系统漏洞 并进行更新。启用入侵检测,可检查账户暴力破 解、进程异常、网站后门、异常登录、恶意进程等 入侵行为,及时发现资产中的安全威胁、实时掌握 资产的安全状态。启用Web应用防火墙,识别并 阻断网页木马上传、命令╱代码注入、敏感文件访 问、第三方应用漏洞攻击、恶意爬虫扫瞄等攻击。
• 恶意防范:启用恶意程序隔离查杀,对识别出的后门、木马、蠕虫等恶意程序,提供自动隔离查杀,自动识别处理系统存在的安全风险。
• 数据完整性:对数据库数据进行每日备份,对服务器进行定期备份。
为规范部门内部各系统负责人对应用系统资源的访问审核流程,进一步提升员工的信息安全意识,本集团针对云堡垒机解决方案开展深入剖析与应用场景探讨的培训,旨在实现权限的精细控制,确保资源操作全程留痕,有效审计用户操作行为,并对潜在的事故问题进行追溯与定责。同时,通过强化流程,降低违规操作、 滥用职权等非法运作的风险,确保信息安全无虞,实现完全可追溯的信息安全问责机制,全面提升信息安全管理水平。
本集团系统托管于拥有ISO 27001信息安全管理体系认证和ISO 27017云服务信息安全管理体系认证的第三方 云平台,为集团的数据信息安全提供进一步保障。此外,本集团定期接受外部审计师对与财务审计相关的IT基础设施和信息安全管理系统开展的数字审计与IT审计,并根据审计结果持续优化管理水平,确保合规性与安全性。
