云顶国际

信息安全政策概览

云顶国际致力于根据ISO 27001标准的核心原则和业务地区的网络安全框架,保护公司系统及数据完整性。云顶国际将信息安全与隐私保护作为企业合规及持续运营的基石之一。云顶国际建立完善的政策,确保运营过程中的信息安全和隐私保护、全面风险管理及持续改进。

云顶国际信息安全管理架构

云顶国际设立了信息安全与数据合规委员会、生物安全委员会、信息安全部、信息技术部及相关部门的三层组织架构。

信息安全与数据合规委员会

审批信息安全战略和目标,促进信息安全跨组织合作,统筹协调信息安全相关工作。

信息安全部

制定信息安全风险评估方案,实施信息安全风险评估,针对风险项制定相应的风险处置计划。

信息技术部各团队及
评估范围内涉及的相关部门

识别各自工作范围内的信息资产并接受信息安全风险评估

云顶国际数据安全政策

云顶国际的数据安全体系涵盖以下方面:

定义
通过研究组织和行业政策,制定数据使用规范,定义敏感数据。
识别
根据数据敏感度对数据进行分类分级,确定数据保护级别。
控制
对数据全生命周期严格管控,部署策略和管理平台进行权限管理。
监督
云顶国际的系统确保在预期范围内适当使用数据,并记录任何未经授权的数据活动留存备查。
实践
云顶国际持续监控数据,调整策略,确保运营连续性和安全韧性。

云顶国际进一步加强信息安全日常管理,严格审查信息外发和数据处理活动,完善信息安全事件上报途径,降低信息泄露风险:

优化对外发送邮件的权限管理,对除需外部沟通的人员外采用默认禁止外发邮件的管控策略。
缩减非工作必要的特权账号权限,编制《IT系统特权账号管理流程》,明确对IT人员特权账号的管理要求。
排查全集团通讯软件安装情况,对未申请权限或权限已经到期的员工电脑软件进行卸载。
为应对勒索病毒风险和生产业务方面对数据恢复及时性和完整性的需求,部署数据备份及恢复系统,有效保障公司的业务连续性。

事件响应方案

云顶国际采用结构化事件管理方法:

事件发现

事件发现

员工须立即向信息安全组上报任何发现的安全漏洞或疑似安全漏洞。

事件报告

事件报告

员工一旦发现安全事件,直接或通过指定渠道向信息安全组上报。

事件响应

事件响应

云顶国际的团队迅速应对任何安全事件,最大程度地降低潜在影响。

云顶国际隐私政策

云顶国际作为一家全球性生物科技公司,严格遵照运营所在国家或地区关于数字资产和个人数据隐私的法律法规,保护客户隐私也是云顶国际对客户的关键承诺。云顶国际高度重视客户隐私保护,建立了全方位的客户信息安全保护体系,对客户信息进行有效隔离和脱敏,防止数据泄露和滥用。

收集

最少化收集客户信息

使用

明确告知客户数据使用范围

删除

客户有权删除个人信息

存储

保证数据安全稳定存储

隐私政策

云顶国际在官网公开的《隐私政策》声明了公司对客户隐私收集、使用、存储等行为的基本原则,承诺仅在必要、有限、合理的情况下处理客户信息。同时,云顶国际与客户签订隐私保护条款,保护客户信息安全。

云顶国际已发布《数据安全白皮书》,明确本公司对于业务信息、客户隐私等数据的生命周期安全管理标准。为确保跨境业务数据安全,云顶国际已建立多个全球化的数据存储中心,实现在全球范围内的数据本地存储,避免数据跨境传输的风险。

为保障生产过程的质量和可追溯性,云顶国际子公司蓬勃生物部署了双系统架构,旨在满足GMP生产环境下的信息安全及可验证性要求。该架构可优化运营效率,符合制造业保护数据完整性和安全性的最佳实践。凭借该创新数字化解决方案,蓬勃生物荣获《哈佛商业评论》鼎革奖“年度产业链新兴企业奖”。