74 環境、社會及管治報告 2023 第三支柱:企業管治表現 資訊技術與網絡安全 集團意識到日益嚴重和複雜的網絡攻擊所帶來的威脅逐漸增加。ESR持續評估電腦 系統的適當性,並在不斷增長的技術依賴下,對各種平台進行改進,以提高營運效 率和確保有效的內部治理。ESR擁有一個強大的網絡安全基礎設施,可保護內部和 外部來源的技術相關風險。此外,ESR制定了全面的資訊技術政策和程序,管理資 訊的可用性、保密性和安全性,以防止敏感信息未經授權披露。集團了解全球範圍 內不斷增加且複雜的網絡威脅的重要性。隨著我們加快數位化努力以提升業務營運, 我們認識到來自內部和外部來源的技術相關風險是我們主要業務風險的基本組成部分。 在治理和管理結構層面上,集團的資訊技術部門向集團資訊技術主管匯報,該主管 實施信息安全計劃和措施,執行中央資訊技術控制,並協調識別、評估和監控資訊 安全風險,以提升集團的韌性。為了加強網絡安全措施,我們進行了漏洞評估以測 試系統的完整性。考慮到可能影響ESR網絡和數據的外部威脅,我們成立了一個由 第三方服務提供商監管的安全營運中心(「SOC」),與集團資訊技術部門合作。SOC 不斷監測和增強我們的安全狀態,主動預防、檢測、分析和應對潛在的網絡安全事 件。通過定期審查資訊技術災難恢復計劃並評估我們的資訊技術系統的穩健性,我 們確保關鍵資訊系統的保護和必要業務營運的安全恢復。 從防禦和管理方法層面來看,ESR通過資訊安全管理系統(「ISMS」)有效地管理網絡 安全風險,並設定流程來應對技術和數據安全控制問題。ISMS委員會由集團的資訊 技術主管領導,並由集團各業務實體的高級資訊技術領導人組成。該委員會負責制 定集團的資訊安全管治框架,並監督相關系統的運作,以確保採取適當的保護措施, 增強資訊技術業務對網絡安全風險的抵禦能力。 企業風險管理 於2023年,我們更新了網絡防禦策略以適應日益普及的雲計算。為了確保持續防範 來自內外部的惡意軟件和網絡威脅,我們為員工的電腦設備提供了新版雲安全服務。 我們的網絡防禦系統會定期進行測試,由第三方安全專家進行漏洞評估和滲透測試 此外,我們還進行定期備份以及災難恢復測試以保證營運的連續性。這些措施共同 加強了我們預防、發現、和應對潛在危險的能力,從而保護我們的數據、資產和聲譽。 ESR亦制定全面的資訊技術政策及程序以管控資訊的可用性、機密性及安全性以防 止任何機密信息洩露,並提供員工有關資訊科技安全意識的年度必修培訓,包括模 擬網絡釣魚測試,提醒員工及時了解任何潛在的安全漏洞及網絡釣魚詐騙。為了加 強我們應對網絡事件引致財務影響的防禦機制,集團已購買了網絡責任保險,並涵 蓋信息安全風險。 ESR欣然報告,在過去三年中未有發生集團範圍內及第三方信息安全漏洞,證明了集 團網絡安全措施和主動風險管理方法的有效性。ESR集團聘請服務提供商執行一系 列業務職能。為確保有效的第三方安全管理,ESR集團制定了一個健全的框 架和流程,以評估和監控第三方實施的信息安全控制措施, 並持續遵守集團嚴格的安全標準。
RkJQdWJsaXNoZXIy MTIwODcxMw==