亚洲Av片久久综合网_aa片特爽高潮视频_有码 无码 人妻中文_无码国产成人在线网页入口

首 頁
關(guān)于我們
QES三體系認(rèn)證
可持續(xù)發(fā)展
內(nèi)審員培訓(xùn)
經(jīng)營業(yè)績
年度培訓(xùn)計(jì)劃
聯(lián)系方式
  服務(wù)項(xiàng)目
   ISO9001認(rèn)證
   ISO14001認(rèn)證
   IATF16949認(rèn)證
   ISO27001認(rèn)證
   ISO45001認(rèn)證
   ISO三體系認(rèn)證
   ISO13485認(rèn)證
   GRS認(rèn)證
   Ecovadis認(rèn)證
   品牌服務(wù)體系認(rèn)證
   商品售后服務(wù)體系認(rèn)證
   誠信管理體系認(rèn)證
   FSC森林認(rèn)證
   ISO28000供應(yīng)鏈管理認(rèn)證
   TL9000認(rèn)證
   ISO22000認(rèn)證
   ISO50001認(rèn)證
   ISO20000認(rèn)證
   AS9100認(rèn)證
   GJB9001A認(rèn)證
   SA8000認(rèn)證
   EICC驗(yàn)廠認(rèn)證
   BSCI認(rèn)證
   QC080000認(rèn)證
   雙軟認(rèn)證
   培訓(xùn)課程
ISO9001:2015內(nèi)審員培訓(xùn)
IATF16949內(nèi)審員培訓(xùn)
ISO9001+ISO14001二體系內(nèi)審員培訓(xùn)
ISO14001:2015內(nèi)審員培訓(xùn)
ISO45001內(nèi)審員培訓(xùn)
CCAA注冊審核員培訓(xùn)
VDA6.3:2016過程審核培訓(xùn)
IATF16949五大工具課程培訓(xùn)
APQP產(chǎn)品質(zhì)量先期策劃和控制計(jì)劃培訓(xùn)
PPAP生產(chǎn)件批準(zhǔn)程序培訓(xùn)
FMEA潛在失效模式分析培訓(xùn)
SPC統(tǒng)計(jì)過程控制培訓(xùn)
MSA測量系統(tǒng)分析培訓(xùn)
ISO13485:2016內(nèi)審員培訓(xùn)
SQE供應(yīng)商質(zhì)量管理工具培訓(xùn)
6S現(xiàn)場管理與目視管理培訓(xùn)
新舊QC七大手法培訓(xùn)
EHS工廠安全環(huán)境管理培訓(xùn)
生產(chǎn)計(jì)劃與物料控制(PMC)
從技術(shù)人才走向管理培訓(xùn)
 首頁-ISO27001認(rèn)證

                    云南電網(wǎng)信息中心順利通過iso27001認(rèn)證

  隨著信息技術(shù)的高速發(fā)展,Internet的問世和網(wǎng)上各種應(yīng)用的普及,信息安全問題日顯突出。系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁改寫、客戶資料的流失及公司內(nèi)部數(shù)據(jù)的泄露等等,這些信息安全問題已給組織或個(gè)人帶來了嚴(yán)重的威脅。信息安全已不再是以往簡單認(rèn)為的IT行業(yè)或大型機(jī)構(gòu)的需求,而是一個(gè)普遍的各行各業(yè)均面臨的迫切問題,如何確保企業(yè)信息系統(tǒng)的安全?我國云計(jì)算仍面臨四大挑戰(zhàn),其中包括:信息安全法律法規(guī)和監(jiān)管體系不夠健全。在與云計(jì)算安全相關(guān)的數(shù)據(jù)及隱私保護(hù)、安全管理等方面,中國云計(jì)算產(chǎn)業(yè)生態(tài)有著較大缺失。同時(shí),由于對安全的擔(dān)心和其他顧慮,云計(jì)算服務(wù)在中國的使用率也比美國等發(fā)達(dá)國家要低。

  通過10月、11月為期兩月的信息安全管理體系認(rèn)證審核及不符合項(xiàng)整改關(guān)閉工作,2016年11月23日,云南電網(wǎng)信息中心獲得了國家信息安全認(rèn)證中心頒發(fā)的ISO27001信息安全管理體系認(rèn)證證書,肯定了信息中心信息安全管理體系建設(shè)的前期工作,同時(shí)在信息安全管理層面上,明確了信息中心信息安全管理發(fā)展方向。

  信息中心信息安全管理體系建設(shè)工作,從2016年3月至今,一共經(jīng)歷了現(xiàn)狀調(diào)研、風(fēng)險(xiǎn)評估、體系編制、內(nèi)部審核、安全培訓(xùn)、外部審核六個(gè)流程,現(xiàn)狀調(diào)研從4月5日至4月22日,歷時(shí)3周。通過資料采集、文檔分析和實(shí)地走訪等調(diào)研工作,從制度建設(shè)情況、信息安全戰(zhàn)略、組織與人員、信息安全風(fēng)險(xiǎn)管理、工程項(xiàng)目建設(shè)管理、運(yùn)行和維護(hù)安全管理、安全審計(jì)與改進(jìn)管理等方面,摸底信息中心信息安全管理水平,與ISO27001標(biāo)準(zhǔn)進(jìn)行對標(biāo)分析,得到《現(xiàn)狀調(diào)研與分析報(bào)告》、《差距分析報(bào)告》及《差距分析表》,確定項(xiàng)目開展的大致方向。

  通過調(diào)研分析,14個(gè)領(lǐng)域,最終達(dá)到標(biāo)準(zhǔn)要求的僅有安全方針一個(gè)領(lǐng)域,而其他領(lǐng)域僅僅部分符合標(biāo)準(zhǔn)要求,113項(xiàng)控制項(xiàng)中(體系標(biāo)準(zhǔn)2016年9月正式出版2013版本要求,共114項(xiàng),但9月之前各企業(yè)與認(rèn)證機(jī)構(gòu)均以113項(xiàng)為標(biāo)準(zhǔn)),共有76項(xiàng)達(dá)標(biāo),達(dá)標(biāo)率為67%。這也意味著信息中心信息安全管理體系建設(shè)道路任重道遠(yuǎn)。

  風(fēng)險(xiǎn)評估從5月9日至6月3日,歷時(shí)一個(gè)月。基于ISO27001信息安全管理體系認(rèn)證范圍,針對重要的信息資產(chǎn)進(jìn)行安全影響、威脅、漏洞及可能性分析,從而估計(jì)影響,最終選擇適當(dāng)?shù)姆椒ㄟ_(dá)到降低風(fēng)險(xiǎn)、消除風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、接受剩余風(fēng)險(xiǎn)。在這個(gè)階段,信息中心依據(jù)ISO27001信息安全管理標(biāo)準(zhǔn),制定滿足標(biāo)準(zhǔn)要求的安全評估模型,同時(shí)確立風(fēng)險(xiǎn)評估流程,并基于流程,開展風(fēng)險(xiǎn)評估工作。

  利用安全漏洞掃描工具、基線配置核查工具、網(wǎng)站安全漏洞掃描工具等商用成熟產(chǎn)品,配合人工滲透測試,對業(yè)務(wù)系統(tǒng)進(jìn)行了整體的風(fēng)險(xiǎn)評估。同時(shí)項(xiàng)目小組依據(jù)國內(nèi)外各行業(yè),總結(jié)整理出一套安全威脅調(diào)研庫,收錄多達(dá)130條安全威脅,并根據(jù)各個(gè)部門的情況,挑選適合的條目進(jìn)行基于部分的安全威脅調(diào)查與風(fēng)險(xiǎn)評估工作。最終,得到符合要求的《風(fēng)險(xiǎn)評估報(bào)告》、《漏洞掃描報(bào)告》、《基線核查報(bào)告》、《應(yīng)用掃描報(bào)告》及滲透測試報(bào)告。

  風(fēng)險(xiǎn)評估一共囊括了303臺服務(wù)器,38個(gè)WEB應(yīng)用系統(tǒng),基于但不限制于ISO27001的范圍,在提高系統(tǒng)基礎(chǔ)安全的同時(shí),滲透測試共發(fā)現(xiàn)包括系統(tǒng)端口權(quán)限、用戶并發(fā)會(huì)話、后臺管理權(quán)限等16類業(yè)務(wù)安全問題。同時(shí),基于資產(chǎn)價(jià)值開展的安全威脅調(diào)研工作,從電子數(shù)據(jù)、紙質(zhì)文檔、計(jì)算機(jī)軟硬件、人員等方面,發(fā)現(xiàn)了信息中心在信息安全管理層面的薄弱點(diǎn),如由于員工對于信息安全保密分級的不了解,部分文件無法確定文件密級,導(dǎo)致員工不清楚文件泄漏后可能帶來的安全風(fēng)險(xiǎn);準(zhǔn)入系統(tǒng)策略推送失敗,部分系統(tǒng)屏保等基本策略推送不到位可能導(dǎo)致信息泄漏風(fēng)險(xiǎn)等。信息中心在對待風(fēng)險(xiǎn)的態(tài)度上,秉承著“不怕存在問題,就怕不解決問題”的原則,積極改進(jìn),同時(shí),風(fēng)險(xiǎn)評估的結(jié)果為之后的信息安全管理體系文件編制打下堅(jiān)實(shí)的基礎(chǔ)。

  體系策劃與編制從6月8日至7月27日,歷時(shí)兩個(gè)月。選取ISO27001標(biāo)準(zhǔn)中114個(gè)控制點(diǎn)作為控制要求,編寫ISO27001控制點(diǎn)適用于信息中心的適用性聲明文件,同時(shí)依據(jù)適用性聲明文件及信息中心文檔管理相關(guān)制度,構(gòu)造信息中心信息安全管理體系文檔框架,并形成一套以“管理指南”命名,向上融合南方電網(wǎng)、云南電網(wǎng)管理體系,向下兼容信息中心信息安全相關(guān)工作的管理體系文件,共17冊。同時(shí)于6月27日至7月1日,召集各個(gè)部門項(xiàng)目建設(shè)小組成員,開展為期一周的封閉式文件評審工作。同時(shí)在7月4日至7月27日,通過評審意見的收集,文件的復(fù)審及修編,對管理體系文件進(jìn)行定稿。

  內(nèi)部審核工作從8月9日至9月2日,歷時(shí)一個(gè)月。鑒于體系建立初期,中心各個(gè)部門項(xiàng)目小組成員對體系的了解可能不夠透徹,內(nèi)部審核采取委托咨詢公司人員,以一對一的方式,一邊對體系實(shí)施情況進(jìn)行審核,一邊對中心項(xiàng)目小組成員進(jìn)行相關(guān)培訓(xùn),完成體系內(nèi)部審核的同時(shí),提升項(xiàng)目小組成員關(guān)于ISO27001信息安全管理體系的理解和把握。依據(jù)內(nèi)部審核檢查表,內(nèi)部審核共發(fā)現(xiàn)7個(gè)體系運(yùn)行過程中遺漏或者有瑕疵的問題,并根據(jù)問題的特征,找到相關(guān)的部門,由相關(guān)部門牽頭,其余部門配合,完成問題的整改工作。并在內(nèi)部審核期間,召開了全中心人員信息安全意識培訓(xùn)及信息安全管理體系宣貫會(huì)議。同時(shí)內(nèi)部審核的結(jié)果通過管理評審,向中心各個(gè)部門進(jìn)行傳達(dá)。

  經(jīng)過半年的項(xiàng)目建設(shè),中心的信息安全管理能力基于ISO27001標(biāo)準(zhǔn),整套體系已經(jīng)經(jīng)歷了一個(gè)從“無”到“有”的過程。為了明確中心信息安全管理水平的發(fā)展方向,同時(shí)驗(yàn)證中心前期所做的工作效果,中心向中國信息安全認(rèn)證中心提出ISO27001信息安全管理體系審核認(rèn)證申請,并于2016年10月13日至14日開展第一階段的文件審核工作。

  中國信息安全認(rèn)證中心審核組在第一階段的審核工作中,查看了《云南電網(wǎng)有限責(zé)任公司信息中心信息安全管理工作指南》、《信息中心信息安全管理體系適用性聲明(SOA)》、相關(guān)控制措施文件、《云南電網(wǎng)有限責(zé)任公司信息中心信息安全風(fēng)險(xiǎn)評估工作指南》、程序文件、內(nèi)審及管理評審記錄、風(fēng)險(xiǎn)評估及處置記錄;巡視了辦公場所,并與相關(guān)人員進(jìn)行了訪談。審核對體系文件和信息安全控制措施建立情況,發(fā)現(xiàn)了2個(gè)問題13個(gè)不完善的控制點(diǎn),問題主要集中在信息安全風(fēng)險(xiǎn)評估的管理文件中對“殘余風(fēng)險(xiǎn)”的定義和批準(zhǔn)的要求描述不確切和信息安全控制文件編制中存在與實(shí)際工作結(jié)合不到位,以及信息中心對個(gè)別控制目標(biāo)要求存在理解不確切的情況。并給出了中肯的評價(jià)及可行性的整改建議。

  信息中心根據(jù)第一階段審核組提出的建議,進(jìn)行了問題的整改,向中國信息安全認(rèn)證中心提出了第二階段的審核申請,并于2016年10月27日至2016年10月28日開展第二階段的審核工作。二階段審核涉及綜合管理部、人力資源部、財(cái)務(wù)部、應(yīng)用技術(shù)部、安全測評部和設(shè)備管理部等共十個(gè)部門,審核范圍為ISO27001:2013的標(biāo)準(zhǔn)條款涉及14個(gè)控制域包括信息安全方針、信息安全組織、人力資源安全、資產(chǎn)管理、訪問控制、密碼學(xué)、物理環(huán)境安全、操作安全和通信安全等方面以114個(gè)控制目標(biāo)項(xiàng)。審核組通過現(xiàn)場訪談、記錄調(diào)閱等方式開展二階段認(rèn)證審核工作。

  信息中心第二階段審核,首次會(huì)議由于國家信息安全認(rèn)證中心審核組組長主持,中心負(fù)責(zé)人、各部門主任及相關(guān)配合人員參與會(huì)議,體現(xiàn)出了信息中心對審核的高度重視。在二階段審核期間,中心一直以“改進(jìn)第一、拿證第二”的思想,積極配合審核組的老師開展審核工作。最終,在2016年10月28日下午,經(jīng)過2天的審核,審核組老師對中心的工作開展給出了肯定的評論,同時(shí)也提出了一些需要改進(jìn)的地方,如審核期間,發(fā)現(xiàn)第三方人員可通過自聯(lián)WIFI繞過準(zhǔn)入進(jìn)入內(nèi)網(wǎng)工作;有的部門打印機(jī)安全策略管理較好,但未注重安全意識,出現(xiàn)將打印機(jī)密碼貼在打印機(jī)上的問題;機(jī)房出入登記在某幾天,某幾位人員的出入并未嚴(yán)格登記等問題。中心在末次會(huì)議上就審核組老師提出的一個(gè)不符合項(xiàng)及其他觀察改進(jìn)項(xiàng)上,積極向?qū)徍死蠋焼栍?jì),不僅僅局限于已知問題,舉一反三,共同為中心的信息安全管理工作的提高做出努力。

  終于,通過一整年的不懈努力,信息中心獲得了國家信息安全認(rèn)證中心頒發(fā)的ISO27001信息安全管理體系認(rèn)證證書。信息安全工作不能一蹴而就,獲得認(rèn)證證書,只是提升信息安全管理工作整體中的一個(gè)環(huán)節(jié),它用來指明信息中心信息安全管理發(fā)展的道路,肯定發(fā)展方向的準(zhǔn)確性。信息安全工作同樣不能懈怠不前,獲取認(rèn)證證書,是今年的結(jié)束,同時(shí)也是新的工作的開始。如何保證已確立的信息安全管理體系能夠持續(xù)、有效的運(yùn)行,完善、不斷的改進(jìn),不僅僅是安全部門的分內(nèi)工作,也需要中心每一位員工積極參與。

  上海賽學(xué)也因此成為眾多信息安全管理部欽點(diǎn)的iso27001認(rèn)證公司合作伙伴。賽學(xué)免費(fèi)為黃浦區(qū)|徐匯區(qū)|長寧區(qū)|靜安區(qū)|普陀區(qū)|虹口區(qū)|楊浦區(qū)|寶山區(qū)|閔行區(qū)|嘉定區(qū)|浦東新區(qū)|松江區(qū)|金山區(qū)|青浦區(qū)企業(yè)做上門診斷,出具iso27001認(rèn)證方案。目前,中國iso27001認(rèn)證公司有9家,國內(nèi)國際的iso27001認(rèn)證公司風(fēng)格各不相同。中小企業(yè)可以致電:021-64196861詢問iso27001認(rèn)證費(fèi)用iso27001認(rèn)證機(jī)構(gòu)的情況。

聯(lián)系方式 上海總部地址:上海市滬閔路6088號凱德龍之夢商務(wù)樓29樓
江蘇分部地址:江蘇蘇州市相城區(qū)高鐵新城南天成路111號4幢708室
湖南分部地址:湖南省長沙市雨花區(qū)勞動(dòng)?xùn)|路1299號86棟28樓
湖北分部地址:湖北省武漢市武漢經(jīng)濟(jì)技術(shù)開發(fā)區(qū)海倫小鎮(zhèn)C03-18樓
Tel:021-64196861 64191739
   13370039986 13817262650
Email:peixun@saixuegroup.com

郵編:201109

與一般的咨詢公司相比SQS賽學(xué)提供的咨詢服務(wù)強(qiáng)調(diào)提高企業(yè)的管理質(zhì)量
通過完善企業(yè)基礎(chǔ)管理從而快速有效的取得認(rèn)證,進(jìn)而提高公司的盈利和競爭力。

版權(quán)所有 SQS
CopyRight @ 2004
網(wǎng)站地圖