1、信息是什么?
信息是一种资产,既价值连城,又瞬息万变。
在现代企业运行架构中,信息起到了核心作用。
常见的信息可包括:图纸、文档、工艺、配方、原型、产线、计算机代码、合同、财务、基建、人资档案、人员、服务、商务关系等一切对企业有价值的数据及文档。
信息对您和您的客户来说必不可少,是业务达成的核心资源,必须得到维护、保护!
2、信息安全是什么?
保密性:不该知道的人,不让其知道!
完整性:准确、完好。
可用性:需要时能及时获取。
信息资产的保密性、完整性和可用性,就是信息安全!
3、信息资产面临哪些风险?
2023年11月27日—28日,某某出行又双叒叕宕机,大量人员无法打车,已上车的人发现价格显示混乱……
2021年7月4日,国家网信办通报,因存在严重违法违规收集并使用个人信息,某某出行被强制下架,翌年被罚款80多亿元……
2018年8月3日,因为插入U盘维修机台,某芯片代工厂大量机台感染病毒,三个厂区停产……
我们总是面临着黑客、间谍、境外不友好组织、病毒、逻辑炸弹、拒绝服务、钓鱼网站、内外部泄密等威胁。
我们又总是或多或少存在人员疏忽、防火墙未充分配置、网络未隔离、未及时杀毒、未及时升级等弱点。
当威胁利用弱点时,可能造成信息资产的损失,可能造成违约、停产、违法、声誉、财务、行业退出等业务和营收损失,这就是信息安全风险!
4、信息安全管理体系(ISMS)是什么?
党和国家领导人非常重视信息安全。2014年,中央网络安全和信息化领导小组(现改为中央网络安全和信息化委员会)成立,习近平同志发表重要讲话,指出没有网络安全就没有国家安全,没有信息化就没有现代化。
自2016年起,《网络安全法》《数据安全法》《个人信息保护法》等数十项法律法规的颁布、施行,标志着我国信息安全工作进入法制阶段。
信息安全管理体系由策略、规程、指南和相关资源及活动组成,目的在于保护信息资产,是通过建立、实施、运行、监视、评审、维护和改进信息安全来实现组织业务目标的系统方法。
采用信息安全管理体系是组织的一项战略性决策。
“信息安全”是建立在有价值的信息资产的基础上的。这些信息需要适当的保护,使准确和完整的信息对已授权的需要者及时可用,可促进业务的提升。
信息安全管理体系通过应用风险管理过程来保持信息资产的保密性、完整性和可用性,灵活满足所有行业信息安全需求,充分保护数据资产,降低信息安全风险,有助于为相关方树立信息安全风险得到充分控制的信心。
5、建立并实施信息安全
管理体系的好处有哪些?
信息资产得到持续充分地保护,免受各种威胁,保障业务正常进行,使您放心地进行数字化赋能,促进业务腾飞。
保持一个全面的结构化的框架,以识别和评估信息安全风险,选择和应用适用的控制措施,并测量和改进其有效性。
充分利用管理打造信息安全优势。
持续改进控制措施。
有效地实现法律法规的合规性。
助力成为客户的首选供商。
6、企业如何实施信息安全管理体系?
创建信息安全组织,建立信息分级与保密制度,识别信息资产,评估并处置风险,实施管理提升和技术完善,必要时进行认证。
图片
在管理提升和技术完善中,可能涉及计算机、OA、门户网站、SCM、CRM,PLM/PDM,ERP/SAP,MES、机房、服务器、网络、网络设备、加密设备、防火墙、入侵检测、上网行为监控、AD域控、视频监控、门禁系统等方面的改进。
7、信息安全管理体系认证?
企业提出信息安全管理体系认证的需求,认证机构通过严谨的认证流程,规范的认证实施过程,对企业信息安全风险得到充分管理的程度进行评价,向政府、社会和客户传递与之关切的信息资产得到充分保护的信心。
认证采用的标准是ISO/IEC 27001《信息安全、网络安全和隐私保护 信息安全管理体系 要求》2022版。国家会适时发布等同采用的国家标准,与国际标准完全等效。
8、什么样的企业可开展信息安全管理体系认证工作?
l 法律地位:具有营业执照的组织,或经其授权的一部分。
l 信息资产:拥有或管理着任何有价值的信息资产,为核心业务建立了基本的信息系统,已经或有意愿按国际先进ISO/IEC 27001标准来管理信息安全风险,并向客户及相关方传递信任。
l 已建立信息分级与保密制度,识别信息资产,评估并处置风险,实施管理提升和技术完善。
l 完成或承诺在审核前完成一次内部审核和管理评审。
l 信息安全管理体系须在审核前运行3个月以上。
9、信息安全管理体系认证受理的范围
ISMS 认证业务范围分类与分级
大类 | 中类/(必要时)小类 | 级别 | 描述 | 备注 |
01 | 政务 | |||
01.01 | 一 | 国家机构 | 包括人大、政府、法院、检察院等,不含税务机关和海关 | |
01.02 | 一 | 税务机关 | ||
01.03 | 一 | 海关 | ||
01.04 | 二 | 其他 | 例如政党,政协,社会团体等 | |
02 | 公共 | |||
02.01 | 一 | 通信、广播电视 | ||
02.02 | 一 | 新闻出版 | 包括互联网内容的提供 | |
02.03 | 二 | 科研 | 涉及特别重大项目的应提升为一级 | |
02.04 | 二 | 社会保障 | 例如社会保险基金管理、慈善团体等。包括医疗保险 | |
02.05 | 二 | 医疗服务 | ||
02.05.01 | 二 | 医疗服务 | ||
02.05.02 | 二 | 其他护理、与健 康有关的照料服 务 | ||
02.06 | 三 | 教育 | ||
02.07 | 三 |
其他 | 例如市政公用事业(水的生产和供应、污水处理、燃气生产和供应、热力生产和供应、城市水陆交通设施的维护管理等) | |
02.07.01 | 其他市政公用事 业 | 例如市政公用事业(水的生产和供应、污水处理、燃气生产和供应、热力生产和供应、城市水陆交通设施的维护管 理等) | ||
02.07.02 | 其他社会工作活动 | 例如向老年人和残疾人提供的不含住宿的社会工作活动,儿童日托活动,其他未另分类的不提供住宿的社会工作活动;兽医活动;废物的收集、处理、污染修复等 | ||
03 | 商务 | |||
03.01 | 一 | 金融 | 例如银行、证券、期货、保险、资产管理等 | |
03.02 | 一 | 电子商务 | 以在线交易为主要特点,含网络游戏 | |
03.03 | 一 | 物流 | 包括邮政 | |
03.04 | 三 | 咨询中介 | 例如法律、会计、审计、公证等 | |
03.05 | 三 | 旅游、宾馆、饭店 | ||
03.06 | 三 | 其他 | ||
04 | 产品的生产 | 产品包括软件、硬件、流程性材料和服务 | ||
04.01 | 一 | 电力 | 包括发电和输、变、配电等 | |
04.02 | 一 | 铁路 | ||
04.03 | 一 | 民航 | ||
04.04 | 一 | 化工 | ||
04.04.01 | 一 | 其他化工 | ||
04.04.02 | 一 | 石油化工 | ||
04.05 | 一 | 航空航天 | ||
04.06 | 一 | 水利 | ||
04.07 | 二 | 交通运输 | 包括公路、水路、城市公共客运交通等,不含航空和铁路 | |
04.08 | 二 | 信息与通信技术 | 例如软、硬件生产及其服务,系统集成及其服务,数字版权保护等 | |
04.09 | 二 | 冶金 | ||
04.10 | 二 | 采矿 | 含石油、天然气开采 | |
04.11 | 二 | 食品、药品、烟草 | ||
04.12 | 三 | 农、林、牧、副、渔业 | ||
04.13 | 三 | 其他 | ||
04.13.01 | 三 | 其他 | 纺织、皮革及皮革制品、木材及木制品、纸浆/纸及纸制品、印刷业、核燃料、橡胶和塑料制品、非金属矿物制品、混凝土/水泥/石灰/石膏及其他、造船业、铁路机车/摩托车/自行车及其他运输设备、家具/珠宝/乐器/体育用品/游戏用品及玩具/医疗及牙科器械和用品/其他/其他设备的修理、回收业、工程服务、其他服务、其他活动 | |
04.13.02 | 三 | 建设业 | ||
04.13.03 | 三 | 金属、机械及设备 | 基础金属及金属制品、机械及设备 | |
04.13.04 | 三 | 电和光学设备 | ||
04.13.05 | 三 | 汽车及其零部件 | ||
04.13.06 | 三 | 批零及维修 | 汽车、摩托、个人及家庭用品修理业 |
注:1、04.04.01、04.13.01~04.13.05等小类是本中心在CNAS-SC-170基础上做的细分。
2、01政务:暂不予受理;
3、属于工信部联协[2010]394 号文《关于加强信息安全管理体系认证安全管理的通知》中向国务院各部委、各直属机构提供信息技术服务的,需要进行认证备案的组织,需向工信部提交《政府部门信息技术外包服务机构申请信息安全管理体系认证安全审查申请表》,并经审查同意后受理;
4、02.01通信、广播电视,03.01金融,04.01电力,04.02铁路,04.03民航:报行业主管部门同意后受理。
