信息安全管理政策

万物云空间科技服务股份有限公司

信息安全管理政策

版本号：V1.0

万物云的信息安全政策均公开发布于公司官网。我们承诺将持续改进信息安全系统，确保数据的完整性与保护，监测并响应信息安全威胁，为全体员工明确信息安全个人责任，并为第三方供应商设定信息安全要求。

一、目的

万物云高度重视信息安全及隐私保护工作,严格遵守《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规。我们构建信息安全与隐私保护管理体系，发布并落实《万物云信息安全管理办法》、《应用安全管理制度》、《个人信息合规管理制度》等多项政策制度，根据业务与最新的监管要求每年持续对信息安全措施和制度进行更新。

二、管治架构

万物云首席信息安全官是公司管理层成员，统筹指导与监督信息安全与隐私保护工作，负责制定和维护公司的信息安全愿景、战略和规划，以保护公司信息资产和客户信息。

万物云的信息安全管理组织涵盖四个层级：科技决策委员会、信息安全职能部门、各业务部门信息安全代表、以及各业务部门的员工。确保信息安全责任机制落实到公司全员，一旦发生信息安全事件公司将会及时响应。

三、适用范围

万物云参照ISO27001标准评估体系在内部发布了一系列的信息安全管理制度，分为一阶文件（安全策略与管理方针）与二阶文件（制度与规范），范围覆盖万物云全体员工及其他服务人员（包括兼职和外包员工），涵盖公司及其附属公司的所有业务活动。同时适用于我们的供应商及合作伙伴。

万物云信息安全管理制度中明确规范全体员工与外部第三方的信息安全责任与义务，以确保责任机制得到落实。万物云员工手册中列明信息安全责任，并要求全体员工签署信息安全责任书。在万物云与供应商的合同、服务协议中，包含明确的信息安全条款、数据保护与保密要求。

四、技术措施

万物云实施完善的管理措施与纵深的安全技术防御体系为公司的信息系统与数据提供安全防护机制，能够实时监测与响应各种信息安全威胁，同时防止数据资产和敏感信息被篡改、泄露、丢失，以确保其完整性。具体技术措施包括：

1. 人员账号管理方面：各应用系统账号管理接入公司统一的账号管理平台，落实用户账号的安全管理要求；所有账号的申请均应在工作审批流程中完成审批流程，并由运维人员遵照执行，并且保留记录以备审计；员工离职时，会及时在系统中停用其账号；

2. 终端安全方面：通过终端安全检测与响应提供预防、检测和应对各种安全威胁（如病毒、恶意软件、勒索软件等），增强组织内终端的安全性，保护数据资产和敏感信息；

3. 主机安全方面：通过资产清点、风险发现、入侵检测、内存后门、基线合规检查等安全功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，降低当前服务器面临的主要安全风险；

4. 应用安全方面：通过Web应用防火墙（WAF）为互联网发布的应用系统提供应用层攻击流量检测和拦截，如常见的SQL 注入、XSS、CSRF等 OWASP-TOP10 漏洞攻击，同时，提供应用层访问控制；

5. 网络安全方面：通过云防火墙，对南北向流量和东西向流量进行访问控制（含规则优先级管理）、入侵防御，并提供日志审计（规则命中日志、操作日志）等功能，实现对云上资产的网络安全防护与管理。

五、认证与审核

2025年度，万物云已通过外部机构的信息安全管理体系（ISO27001）与隐私保护管理体系（ISO27701）的审核（详见附件二和附件三）。

六、 政策审视及修订

本政策经执行管理层审议批准，并已向董事会报告。公司将根据国家法律法规的变化、公司运营的实际情况以及绩效考核的结果，由万物云数据与信息技术中心与ESG办公室于每年4月20日前启动更新检视，6月30日之前完成对本政策的检讨与更新发布，以确保其持续有效性与适用性。

万物云空间科技服务股份有限公司

证券与公司治理部-ESG办公室

数据与信息技术中心

二〇二五年十月二十日

附件一：《万物云空间科技服务股份有限公司信息安全工作制度》

万物云空间科技服务股份有限公司

信息安全工作制度

一、信息安全相关的业务连续性计划（BCP）

万物云制定发布的《信息安全业务连续性管理规范》明确了关于信息系统、后台数据中心和关键业务场景的信息安全应急响应与恢复流程，并根据网络攻击、数据设施故障、云服务故障等不同的信息安全风险场景来制定应对预案。公司使用云服务商提供的默认备份策略服务（每7天采用快照的方式进行一次全备份），并根据不同的业务系统采取差异化的备份策略。应急响应时间为24小时内，每年开展灾难恢复测试。

二、信息安全漏洞分析

万物云由信息安全职能部门负责定期开展信息安全漏洞分析工作，包括：

1、 每季度针对运营业务系统与服务器的安全扫描与加固；

2、 每年对IT基础设施安全基线配置检查；

3、 每年在公司范围内开展渗透测试多次；

4、 每年开展模拟攻击演练一次；

5、业务系统上线前安全检查；

同时，对国家互联网应急中心发布的漏洞预警信息，信息安全职能部门组织相关的业务部门或产品团队进行漏洞分析，如存在相关漏洞则根据公司信息安全管理要求进行整改，并跟踪修复情况。

三、信息系统的内部审计

信息安全职能部门每年依据ISO27001标准、国家信息系统等级保护等要求在内部开展一次信息安全内部合规审计工作，内容涵盖:信息安全管理、策略、访问控制、漏洞管理、数据保护等方面，并对内部审计发现的问题组织相关部门进行整改。

四、信息系统的独立外部审计

在外审方面，每年委托第三方开展信息安全审核，于2025年度通过国家网络安全等级保护认证，以及DNV依据ISO 27001的独立认证。

五、事件升级与沟通机制

公司建立内部信息安全事件管理机制，日常使用安全工具主动监控各类外部安全威胁，对发现的异常安全告警进行分析排查，对发现的问题跟踪整改。另外，面向全员发布使用的IT报事平台与信息安全工作组的邮箱、联系方式，确保员工发现安全事件、可疑行为、系统漏洞等情况时可以及时上报。信息安全职能部门收到信息后会根据事件类型组织内部相关部门协同处理。

万物云积极与信息安全监管部门（如：网安、通管局）保持沟通联系，依据商业合同约定保持与供应商、合作伙伴的沟通。一旦发生数据泄露或信息安全事件后,会针对具体事件进行故障分析，及时修复发现的漏洞，并采取应急措施将影响降低到最小程度。

未来的预防措施：在管理方面加强人员意识培训和日常安全巡检，技术方面完善、升级安全防护工具。

六、员工信息安全意识培训

公司重视员工的信息安全意识培训，内部每年开展钓鱼邮件测试并结合典型的信息安全事件进行宣传。每年组织一次覆盖全体员工的信息安全意识考试，内容包括日常账号安全、密码管理、钓鱼邮件识别、数据加密等，并要求全员通过。同时在一线业务部门还会加入客户隐私信息保护的考试内容，落实差异化安排。

万物云在上一财报期内公司没有发生数据泄露事件。

附件二：公司于2024年7月26日取得信息安全管理体系认证（ISO27001），附图如下。

附件三：公司于2024年7月26日取得隐私保护管理体系认证（ISO27701），附图如下。