歡迎您!訪問江蘇熠生企業認證咨詢有限公司

咨詢服務熱線:

南京:13914496364

淮安:13705231187

ISO9001認證公司
您當前的位置 : 首 頁 > 新聞資訊 > 行業資訊

聯系我們Contact Us

江蘇熠生企業認證咨詢有限公司

南京熱線:13914496364(鈕經理)

淮安熱線:13705231187(鈕經理)

公司郵箱: jsysiso01@163.com

公司網址:www.jsk123.com

南京地址:江蘇省南京市江寧區翠屏國際6棟302室

淮安地址:江蘇省淮安市淮陰區中業慧谷A3棟1402室

ISO27001體系建立與ISO27000體系重要因素有哪些?

2021-06-17 16:18:54

針對ISO27001認證體系建立的影響因素有物理安全、人員權限、PII數據防護等等,ISO27000體系的要素有保密性、完整性、可用性,下面ISO9001認證公司就來為大家詳細說明一下。

一、作為乙方如何更好的為甲方建立信息安全體系

1、體系建立的重要幾點

(1)了解客戶的需求;

(2)根據需求制定信息安全方案;

(3)領導層的支持;

(4)全體員工的配合;

(5)足夠的乙方服務能力

ISO27001認證

二、了解客戶需求;

在項目立項前期,也就是售前階段需要與客戶進行溝通并了解客戶為什么做信息安全體系建立,舉例如ISO/IEC 27001信息安全管理體系,國內大部分公司主要的意圖為以下幾種:

(1)相關方要求:公司的供應商會對“你”有ISO27001是否通過的需求,如果沒有在合作方面會有阻礙;

(2)投標:這個投標的話比較直接了當,有些公司為了自己的項目投標,然而他們標書的要求會有一票否決項,不過ISO27001不得參加;

(3)“給自己的客戶心里安慰”:什么意思?就是做有些公司是to-B的為了給自己的客戶心里安慰單純的為了拿證書;

(4)公司自主要求:這一類客戶是好客戶,配合度高,能夠實施落地,并且這種客戶以外企為主。

總結一句話:國內企業先賺錢再管理,外企是先管理再賺錢,這就是不同類型企業針對信息安全管理建設的不同差異。

三、制定安全方案;

安全方案就是根據客戶的需求來制定,并且需要符合客戶的實際情況,我們就拿實打實的做體系建設來說,我之前做過一個客戶,某電商平臺,國內數一數二的,并且他們有自己的信息安全團隊,并且規模很大,通過了解他們日常的信息安全做的很好,并且也依據很多體系標準來制定公司內部的信息安全管理策略,像等保2.0、ISO27001、ISO27018、ISO27701、ISO20000等,他們的自主性很高,通過前期的溝通,他們的痛點是物理環境安全、人員權限和PII數據保護。

四、物理安全;他們物理安全的痛點有哪些:

(1)辦公區域無任何隔離,為了追求無約束的辦公環境,一些重要的財務、法務、信息安全部門均未進行物理隔離,通過現場查看可以看到他們即使在處理敏感的數據也未進行任何安全防護;

(2)由于是電商平臺嘛,大部分都是比較年輕化的員工,并不喜歡佩戴員工卡,進出辦公區域都是刷臉,并且門禁不是自動上鎖的門禁,而且員工自己信息安全方面意識較為薄弱,即使外來人員尾隨都沒有人意識到,可以自由在辦公區域走動;

五、人員權限;他們的人員權限比較混亂,主要有以下一個方面:

(1)不屬于該部門的人員擁有該部門所涉及系統的較高權限;

(2)作為數據導出專員,可以導出大量的個人數據,并且是落到本地,而且也沒有Backup人選;

(3)所有人員擁有打印權限。

六、PII數據防護;

作為電商平臺接觸較多的數據肯定是用戶的PII數據,用戶在該平臺購買東西,他的個人數據姓名、電話、住址都會保存,并且這家企業雖然有相應的管控措施但是也有一些解決不了的問題:

(1)客服人員能夠接觸PII數據并且即使在家辦公也會接觸,雖然電腦終端有加密軟件但是不能夠管控到拍照;

(2)即使上了加密系統但是該系統有相應的缺陷,從某牛上下載數據不能夠主動加密;

以上就是小編對“ISO27001體系建立與ISO27000體系重要因素有哪些?”的總結說明,希望能夠幫助到大家。


標簽

Z近瀏覽: