信息安全&數(shù)據(jù)保護

Information Security & Compliance

  • ISO27001信息安全

    ISO27001是有關(guān)信息安全管理的國際標準。最初源于英國標準BS7799,經(jīng)過十年的不斷改版,最終在2005年被國際標準化組織發(fā)布為正式的國際標準,并已廣泛被世界范圍內(nèi)所接受,用于組織的信息安全管理體系的建立,保障組織的信息安全,采用PDCA過程方法,基于風(fēng)險評估的風(fēng)險管理理念,全面系統(tǒng)地持續(xù)改進組織的安全管理。 ISO27001的主要內(nèi)容和認證過程:ISO27001主要由3部分組成。分別是:《信息安全管理實施細則》,《信息安全管理體系規(guī)范》、《信息安全風(fēng)險管理指南》ISO/EC17799信息技術(shù)信息安全管理用實施規(guī)程是由國際標準化組織(ISO)頒布的一套全面和復(fù)雜的信息安全管理標準,旨在幫助各種類型和規(guī)模的組織實施并運行有效的信息安全管理體系,從而增強企業(yè)識別、防止、減少和控制組織信息安全風(fēng)險的能力。ISO/EC17799標準是由兩部分構(gòu)成的。第一部分是信息安全管理體系的實施指南,相當(dāng)于BS7799-1;第二部分是信息安全管理體系規(guī)范,相當(dāng)于BS7799-2 ;ISO27001:2013的體系包括14個控制域、35個控制目標、114項控制措施。
    ISO27002主要用于實施基于ISO/IEC27001信息安全管理體系(ISMS)時,選擇控制項的參考,或作為組織實施普遍接受的信息安全控制項的指南。ISO/IEC27002:2013版自2018年修訂,新版本已于2022年2月15日正式發(fā)布。由于27001和27002的附錄A需保持一致,因此在27002更新后,27001要做出相應(yīng)的修訂。27002的2022版將原有的114個控制項修訂成93個,修訂后被劃分為4個類別(組織控制、人員控制、物理控制及技術(shù)控制)。新版本主要刪除了一些未能反映最佳實踐的控制項,新增了11個控制項,主要有(威脅情報、云端服務(wù)的信息安全及數(shù)據(jù)泄漏等)。新增項可以避免變化莫測的網(wǎng)絡(luò)攻擊,使企業(yè)能夠持續(xù)控制其信息安全。除了新的控制項之外,2022版還為每個控制項引入了“屬性”。每個控制項都與五個具有相應(yīng)屬性值的屬性相關(guān)聯(lián)(控制類型、信息安全屬性、網(wǎng)絡(luò)安全概念、運作能力及安全域)。另外,在2022版中的目標被目的所取代,因此每個控制項都有一個目的來說明為什么要實施該控制項。目前處于27001評估的組織需要根據(jù)新版27002進行認證。需開展過渡評估,并根據(jù)客戶范圍、地點數(shù)量、系統(tǒng)及每個公司的復(fù)雜程度為每一位客戶制定計劃,確??刂拼胧┖托畔踩献钚聵藴?br> 華菱咨詢在信息安全管理體系服務(wù)過程中,具有大量的成功案例,也是國內(nèi)咨詢機構(gòu)服務(wù)案例較多的咨詢機構(gòu)之一,且本公司的咨詢師除了服務(wù)過國內(nèi)的一些大型集團,同時也服務(wù)過一些海外企業(yè)。服務(wù)客戶的行業(yè)分布為:金融機構(gòu)、制造業(yè)、互聯(lián)網(wǎng)企業(yè)、數(shù)據(jù)中心、水務(wù)公司、燃氣公司、醫(yī)療機構(gòu)、研究院、跨國檢測機構(gòu)、新能源企業(yè)等。如平安集團、港華燃氣、我查查、國家電網(wǎng)電力研究院、光大銀行、數(shù)訊科技、華衍水務(wù)、ITS檢測、SGS檢測、國家測繪地理信息局、中航鋰電等。