康师傅控股有限公司

信息安全与隐私保护政策

前言

康师傅控股有限公司（下称“康师傅”“公司”或“我们”）严格遵守业务运营所在司法管辖区信息安全和隐私保护的所有法律法规。本政策旨在明确公司在信息安全和隐私保护方面的责任和义务，确保公司在追求业务发展的同时，充分重视和保障信息安全和客户隐私。

政策适用范围

本政策适用于公司所有员工（包括公司及其附属公司的正式员工、兼职员工、临时工、高级人员及董事）。公司鼓励供应商共同遵守本政策中明确的各项要求。

信息安全管理要求

•    所有数据的收集、存储、处理和传输均须符合法律法规和公司内部标准，防止数据被泄露、篡改或破坏。

•    持续投资于最新信息安全技术、设备和解决方案，如防火墙、入侵检测系统、数据加密技术和安全审计系统，强化网络与信息系统安全防护，防范黑客攻击、病毒入侵等安全风险。

•    定期评估在信息安全防护投资的效果，并根据需要进行调整和优化。

•    明确IT运维人员权限，运维工作结束后及时收回相关权限。

•    及时更新信息系统的软硬件设施，升级防护措施，定期邀请第三方对信息安全管理系统开展外部审计，确保信息安全系统的有效性。

•    持续监测公司信息与网络安全状况，定期扫描漏洞，针对发现的任何信息安全漏洞和风险采取措施进行及时修复和补救。

•    制定信息安全应急方案，定期测试信息安全应急机制和事件响应程序。

•    对于供应商，应当充分审查其信息与网络系统的安全性，确保公司信息的完整性与保密性不会因供应商原因而受损。

隐私保护管理要求

•   执行信息系统化、流程化管理，设置客户信息访问权限，严格遵守客户信息保密原则。

•   与涉及用户信息的工作人员及第三方公司签署保密协议，并监督协议执行情况，确保公司及用户信息安全。

•   在客户信息获取和记录方面，各事业制定《客诉信息管理作业办法》，只记录客户的基础信息，并定期对重要敏感信息进行清理。

•   在信息访问方面，努力保障内部系统的数据安全，实施账号登录权限管理，约束内部人员对消费者和客户信息的接触场景及使用条件，最大限度保障消费者和客户的信息安全。

员工参与

•    明确每位员工的信息安全责任，如遵守信息安全操作规程、自觉保护公司数据和客户信息等。

•    持续推进信息安全相关培训与宣贯工作，提高员工信息安全意识。

•    发现潜在的信息安全威胁时，应当遵循信息安全风险报告程序进行上报。

•    针对特定岗位（包括但不限于信息安全岗位），公司将信息安全与隐私保护作为员工绩效评估的一部分。

纪律处分

公司对任何泄露用户隐私信息的行为实行零容忍政策，并对违反本政策的行为采取纪律处分措施，包括但不限于警告、罚款、解雇等。

回顾和修订

康师傅定期回顾本政策，并依据最新法规、监管动态、业务情况等因素进行修订。员工应当及时了解政策更新情况，确保自身行为符合本政策的要求。