安全稳定运营

安全稳定运营是世纪互联的核心价值目标之一，其凭借全面的安全策略与技术手段，全力保障业务连续性与数据安全性。

运营安全与业务连续性

世纪互联始终秉持为客户提供高品质、可持续的互联网基础设施服务的宗旨，密切关注并有效管理业务运营过程中面临的内外部风险，确保业务运行的安全性、稳定性与连续性。

在安全运营方面，我们首先将数据中心选址在远离重大自然地理风险的区域，以最大限度降低自然灾害对业务的影响。数据中心的设计严格遵循《数据中心设计规范》（GB50174-2017）A级标准，满足网络安全等级保护三级标准对物理环境安全的相关要求。我们建立了严格的物理访问控制体系，在数据中心及办公区域入口配备安保人员、智能闸机等系统，根据访问授权严格控制出入权限。同时，实现数据中心内部及外围区域的监控设施全覆盖，确保安全无死角。

集团建立并有效运行业务连续性管理体系。我们制定并持续评估《业务连续性管理策略》《业务影响分析》和《业务连续性计划》，根据实际需求进行适时更新，确保策略和程序的控制措施适当、充分、有效。我们对数据中心开展全面的业务影响分析及风险评估，确保关键业务在面临重大安全事件、灾难或运营中断时，能够持续运行或在预期的时间内恢复至可接受的服务水平。此外，集团建立了年度内审与突袭检查相结合的双重监督机制，针对全国数据中心开展运维质量评估，保障数据中心安全运营和业务连续性。

同时，各业务单位结合自身经营活动与风险场景制定了相应的《应急预案》，定期组织应急演练，并建立事后总结与改进机制，持续优化应急处理流程，保障应急管理能力持续提升。目前，我们主营业务所涉及的多场所已通过业务连续性管理体系（ISO22301）认证。2025年，世纪互联太仓基地A座荣获Uptime Institute Management & Operations（M&O）管理与运营认证，充分彰显了我们在数据中心运营管理与韧性方面的专业水准。

网络安全与隐私保护

世纪互联凭借丰富的安全管理经验，以完善的网络安全管理架构、严谨的数据保护制度与先进的风险管理程序为支撑，持续提升数据中心与云服务平台的运营管理能力，为网络安全与隐私保护提供坚实保障。2025年4月，世纪互联成为首批加入“IDC客户数据安全保护行动”的企业之一。

• 管理架构和体系

世纪互联严格遵守运营所在地网络安全与隐私保护相关法律法规，持续加强管理体系的建设及落地。通过制定并实施《网络及信息系统管理规定》《信息安全管理要求》及《信息安全风险管理程序》等制度，我们明确各业务环节的网络安全管理职责，为日常运营提供清晰的规范化指引。同时，我们制定了适用于全集团的《隐私声明》，阐明了可能收集的信息类型及性质、使用方式及用途、授权同意机制、信息保留、存储与保护等内容，全方位保障客户隐私安全。

集团建立了完善的信息安全管治架构，对信息安全工作（包括数据与隐私保护）进行监督和执行。董事会审计委员会负责确保管理层建立相应流程，以识别和评估公司面临的网络安全风险并制定相关的应对措施，同时监督集团定期报告中有关网络安全事项的披露情况。集团的信息安全计划由首席信息安全官（CISO）统筹监督，各业务和职能部门之间协作推进，并听取管理层和董事会的意见。CISO负责制定和执行集团的信息安全战略，其主要目标是保护集团的信息和技术资产，包括对网络威胁进行监控、报告、管理和补救。

集团积极开展信息安全与隐私保护相关认证工作，全面巩固并强化集团信息安全防护能力。目前，集团已获得了信息技术服务管理体系（ISO/IEC 20000）及信息安全管理体系（ISO/IEC27001）认证，覆盖全部业务类型；由世纪互联运营的在线服务已获得公有云个人信息保护管理体系（ISO/IEC 27018）认证。

集团依据信息安全方针和目标，定期组织内部审计，以管理要求符合性审查为核心，同时覆盖运营管理、服务管理、信息安全及业务连续性管理等多个管理体系领域。此外，集团每年委托外部专业机构开展第三方安全审计，旨在对数据中心年度运营管理情况给出客观评价，排查并消除运营安全、数据安全隐患，持续推动经营管理向更规范、更安全的方向提升。针对互联网数据中心服务的安全性和可用性，我们已委托独立第三方机构开展SOC2 Type II鉴证审核。世纪互联蓝云已通过9项中国信息通信研究院可信云认证，并通过了由独立第三方机构开展的SOC 1 Type II、SOC 2 Type II、SOC 3鉴证审核。

• 措施保障

• ◇ 网络安全

世纪互联主要提供数据中心托管服务，即仅向客户租赁IT设备托管空间和互联网接入带宽、链路，同时提供机房运维服务。服务器由客户自行管理，集团不直接或间接接触客户服务器内存储的数据和信息。我们持续强化机房物理安全防护能力，为客户IT设备稳定运行提供可靠的物理环境，切实保障客户IT设备的物理安全与运行安全。

在网络安全与网络边界防护方面，我们严格落实集团网络安全管理和数据保护相关制度要求，确保各类风险得到及时有效的控制，保障集团网络和数据资产的安全。

• ◇ 隐私保护

为更精准识别敏感信息，防止隐私泄露，我们针对公司数据和信息进行分级分类管理，2025年已完成数据安全风险评估报告，对于不同风险等级数据和发现的问题制定针对性措施。

世纪互联已将隐私保护措施嵌入产品和服务的开发过程中。我们开展隐私影响评估，通过部署私有云、数据加密、访问控制、备份与恢复等多方面的措施，为产品和服务的开发构建高度安全、可控的数据存储和处理环境。

在访客离开后主动删除或安全处理相关信息。针对客户项目机密信息、个人敏感信息等涉密或敏感数据，我们实施严格的访问控制管理，以加强数据访问的安全性。为防止数据外泄，集团在员工办公电脑上设置硬盘加密，安装数据防泄露软件；要求第三方驻场人员必须使用集团配备的专用笔记本电脑及内部分配账号，其账户权限按最小化原则进行设定。此外，集团与具备专业资质的数据销毁服务机构合作，对报废IT设备中的存储介质实施全面消磁、彻底清除及物理破坏，严防信息泄露。

• 能力与文化建设

为持续加强员工网络安全与隐私保护的意识和能力，我们结合不同岗位面临的差异性数据安全风险，提供涵盖信息安全法规、制度、理念及技术等维度的针对性培训。其中，我们要求所有新入职员工均须完成信息安全专项培训并通过考核。此外，集团定期发布钓鱼邮件安全预警，开展全员钓鱼邮件安全演练，整体提升集团网络安全风险识别与应对能力。截至报告期末，集团全体员工网络安全受训比例达100%。

集团建立了内部信息安全举报机制，员工可通过内部通讯软件、邮件、电话等渠道，将发现的信息安全事件、系统漏洞或可疑情况上报至网络与信息系统安全工作组。工作组将对上报内容和来源进行审核，并采取相应处置措施。

世纪互联设立业务合规经营与信息安全工作奖励基金，旨在表彰和奖励在业务合规经营与信息安全工作中做出突出贡献的团体和个人。同时，依据《网络及信息系统安全工作考核与问责管理规定》，对迟报、谎报、瞒报和漏报安全事件或者存在其他失职、渎职行为的有关责任人，给予相应的纪律处分，构成犯罪的，依法追究刑事责任。

负责任AI应用

世纪互联持续探索AI技术在业务运营和日常办公中的应用，旨在提质增效、实现决策优化。我们始终秉持负责任态度，通过管理体系、制度建设、保障措施，确保合规应用AI技术，降低相关风险。

• ◇ 遵循“合法、最小、必要”原则：仅在业务必需时依法收集和使用数据，杜绝非必要的强制性AI使用与面部识别等敏感功能，并实施权限分级管控。

• ◇ 识别并缓解模型偏见：确保不同种族、性别、年龄等群体的用户都能受到AI系统公平、无歧视的对待。

• ◇ 确保用户知情权：所有由AI生成的文本、图像及语音等内容均有明确标识。

• ◇ 建立“责任链机制”：要求所有AI系统设计保留人工最终监督与决策权，通过设置人工复核节点、记录完整操作日志，确保自动化决策可追溯、可干预。

• ◇ 建立清晰的AI决策申诉机制：用户可通过客服通道、专属邮箱或系统内“报障”按钮对AI结果提出异议，由人工团队复核并将重大案例纳入模型迭代改进。

• ◇ 持续改进性能：通过后台监控日志、定时自动化测试及性能告警机制，持续改进，确保模型性能稳定。

• ◇ 培训赋能：我们面向员工开展AI使用、AI伦理文化相关培训，确保其在日常工作中恪守企业价值观；针对研发人员提供涵盖数据隐私、安全防护与应急响应的AI安全开发专项培训，从源头筑牢技术合规与风险防控能力。

世纪互联旗下全资子公司第一线已制定《人工智能道德声明》，以公平与包容、透明与问责、治理与合规、教育与认知等伦理原则为核心，致力于开发和部署符合最高道德标准的AI系统。第一线已于2025年获得ISO/IEC 42001: 2023人工智能管理体系（AIMS）认证。