ESG Report 2025

5.4.1 信息安全管理體系 聯邦制藥建立了以信息安全管理委員會為核心的管治架構，統籌信息安全管理工作的戰略規劃與監督指導。信息安全管理委員會由 董事會主席擔任主任，成員涵蓋各業務板塊負責人，負責制定信息安全管理框架、審查信息安全制度、指導各經營單位落實信息安 全措施，並向董事會匯報工作。 本集團數字化中心作為信息安全的執行與保障部門，負責數據安全系統建設、運維保障，部署數據加密、訪問控制、入侵檢測、漏 洞修複、數據備份等安全防護技術措施，實時監測數據安全態勢，及時識別並處置安全威脅。同時，數字化中心定期組織開展數據 安全培訓與宣傳活動，提升全體員工的數據安全意識。 審計中心協同數字化中心，每年對信息安全管理制度執行情況、技術防護措施有效性、隱私保護落實情況開展專項審計，確保信息 安全管理體系持續有效運行。本年度，本集團的 IT 審計覆蓋全集團，共完成 10 項專項審計工作，涵蓋研發體系信息安全、信息系統 權限管理、雲服務系統風險、文檔系統基礎控制等重點領域。審計結果顯示，大部分系統風險可控，其餘各項審計發現均按計劃推 進整改或風險已得到有效控制。 在信息分級與權限管控方面，本集團依據《聯邦制藥信息管理規定》，將所有信息按其重要程度及洩露後可能造成的損害劃分為五 個等級：絕密、機密、秘密、內部、公開。不同等級的信息對應不同的訪問權限、存儲要求和審批流程，確保信息資產得到分級分 類保護。 指定場所保存、專人管 理、嚴格審批、加密傳輸 控制知悉範圍、借閱審 批、加密存儲 公司核心信息，洩露會使 公司利益遭受重大損失 具有重要價值的信息，洩 露將造成嚴重損失 定義 核心管控要求 信息等級 訪問權限 絕密 僅限經嚴格審批的核心管 理人員及直接相關人員 部門負責人審批後，相關 業務人員可訪問 部門內部管理、有限共享 相對重要的信息，一般不 對外公開 機密 秘密 內部公開、禁止外傳 規範發布、可對外傳播 對內部公開、對外保密的 信息 經批准對外發布的信息 內部 公開 部門內部人員按需訪問， 跨部門需審批 全體員工可訪問，但不得 對外傳播 所有人可訪問 5.4.2 技術防護與運維保障 聯邦制藥採取「本地部署 + 技術防護 權限管控」三重措施，構建覆蓋數據全生命週期的安全防護體系。 在本地系統部署層面，涉及核心數據的業務系統及數據庫優先採取本地部署模式，從物理層面降低數據外溢風險。本集團辦公系 統、研發部門、臨床研究部門分別建立獨立加密體系，設置不同的加密方式，解密審批人員須經事先授權後方可執行解密操作。 + 23 聯邦制藥國際控股有限公司 2025 年環境、社會及管治報告