康師傅控股有限公司

信息安全與隱私保護政策

前言

康師傅控股有限公司（下稱“康師傅”“公司”或“我們”）嚴格遵守業務運營所在司法管轄區信息安全和隱私保護的所有法律法規。本政策旨在明確公司在信息安全和隱私保護方面的責任和義務，確保公司在追求業務發展的同時，充分重視和保障信息安全和客戶隱私。

政策適用范圍

本政策適用於公司所有員工（包括公司及其附屬公司的正式員工、兼職員工、臨時工、高級人員及董事）。公司鼓勵供應商共同遵守本政策中明確的各項要求。

信息安全管理要求

•    所有數據的收集、存儲、處理和傳輸均須符合法律法規和公司內部標准，防止數據被泄露、篡改或破壞。

•    持續投資於最新信息安全技術、設備和解決方案，如防火牆、入侵檢測系統、數據加密技術和安全審計系統，強化網絡與信息系統安全防護，防范黑客攻擊、病毒入侵等安全風險。

•    定期評估在信息安全防護投資的效果，並根據需要進行調整和優化。

•    明確IT運維人員權限，運維工作結束后及時收回相關權限。

•    及時更新信息系統的軟硬件設施，升級防護措施，定期邀請第三方對信息安全管理系統開展外部審計，確保信息安全系統的有效性。

•    持續監測公司信息與網絡安全狀況，定期掃描漏洞，針對發現的任何信息安全漏洞和風險採取措施進行及時修復和補救。

•    制定信息安全應急方案，定期測試信息安全應急機制和事件響應程序。

•    對於供應商，應當充分審查其信息與網絡系統的安全性，確保公司信息的完整性與保密性不會因供應商原因而受損。

隱私保護管理要求

•   執行信息系統化、流程化管理，設置客戶信息訪問權限，嚴格遵守客戶信息保密原則。

•   與涉及用戶信息的工作人員及第三方公司簽署保密協議，並監督協議執行情況，確保公司及用戶信息安全。

•   在客戶信息獲取和記錄方面，各事業制定《客訴信息管理作業辦法》，隻記錄客戶的基礎信息，並定期對重要敏感信息進行清理。

•   在信息訪問方面，努力保障內部系統的數據安全，實施賬號登錄權限管理，約束內部人員對消費者和客戶信息的接觸場景及使用條件，最大限度保障消費者和客戶的信息安全。

員工參與

•    明確每位員工的信息安全責任，如遵守信息安全操作規程、自覺保護公司數據和客戶信息等。

•    持續推進信息安全相關培訓與宣貫工作，提高員工信息安全意識。

•    發現潛在的信息安全威脅時，應當遵循信息安全風險報告程序進行上報。

•    針對特定崗位（包括但不限於信息安全崗位），公司將信息安全與隱私保護作為員工績效評估的一部分。

紀律處分

公司對任何泄露用戶隱私信息的行為實行零容忍政策，並對違反本政策的行為採取紀律處分措施，包括但不限於警告、罰款、解雇等。

回顧和修訂

康師傅定期回顧本政策，並依據最新法規、監管動態、業務情況等因素進行修訂。員工應當及時了解政策更新情況，確保自身行為符合本政策的要求。