常说“三分靠技术,七分靠管理”,不去深究技术与管理具体的比例是否准确,但至少我们需要形成一个共识——信息安全问题不能单单仅仅作为技术问题来处理,安全管理的作用无可厚非。
今年六月份,一汽-大众就成功进行了ISO27001信息安全管理体系的认证办理。一汽-大众于2020年4月正式启动了ISO27001信息安全管理体系认证项目,耗时8个月对公司信息安全管理体系进行了从上至下全面改造与升级。
此次认证的业务范围涵盖了公司各项业务领域,通过认证,更是对一汽-大众信息安全工作的一次全面“健康体检”,这不仅对公司的经营安全、信息披露、合规性管理、数据保护有了更好保障,还有助于提升未来的综合竞争力。管理服务部总监希望各部门以此为契机,对信息安全的认知和执行再上一个新台阶。
证书的取得并不意味着信息安全工作的结束,在体系证书颁证仪式上,一汽-大众公司管理服务部信息安全团队负责人就以坚决打好信息安全攻坚战为前提,力争保障好公司数字化转型与经营发展为目标,从信息安全新边界、合规管控、企业安全运营三个维度向大家展示了企业在信息安全未来五年的战略规划、实施路径以及2021年的重点工作。
一汽-大众公司董事潘占福在最后的讲话中,也对管理服务部提出了要求:要从公司全局出发,科学合理地部署和推进信息安全工作,提升信息安全能力水平,保障企业核心驱动力与竞争力。
关于信息安全体系标准,ISO27001一直被公认为是最严格的国际安全控制实施与管理标准,为全球应用最广泛与典型的信息安全管理标准。通过ISO27001体系认证,标志着一汽-大众信息安全管理水平得到全面提升,达国际领先水平。信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。为推进属区企业信息化建设,加强信息安全管理,促进企业高质量发展,全国各地市出台了相应的奖补措施。
以深圳地区为例,深圳市商务局为支持服务贸易和服务外包公共服务平台建设运营,以及数字、文化、中医药服务等特色服务出口基地建设,加强现有公共服务平台资源的统筹利用,就获得信息安全管理体系等认证的企业给予相应资助。
支持服务外包企业取得国际通行的资质认证,对国际资质认定费用给予支持。对服务外包企业取得的:
软件能力成熟度模型(CMM/CMMI)、
人力资本成熟度模型(PCMM)、
信息安全管理(ISO27001/BS7799)、
IT服务管理(ISO20000)、
服务机构控制体系(SOC1)及质量管理标准(ISO9001)、
业务连续性管理标准(ISO22301)、
环境管理体系(ISO14001)、
能源管理体系(ISO50001)、
职业健康安全管理体系(ISO45001)、
等国际通行的资质认证及认证的系列维护、升级费用,给予不超过实际发生额50%、总额不超过50万元的支持。今年三月,商务局就已将获得2020年中央外经贸发展专项资金(服务贸易事项)资助项目的企业进行了公示。ISO27001信息安全服务管理证书属于体系认证,证书有效期3年,到期复评,可在国家认监委官网进行公示查看。
随着5G网络、工业互联网、云计算的快速拓展,给众多属于信息安全领域的企业带来全新挑战,后疫情时期信息安全形势将更加严峻。从“被动防御”向“主动安全”转变,不仅需要各部门具备高度的风险意识,更要以“实战化”思想为导向构建信息安全防御体系,在合规驱动基础上推动信息安全能力的平滑升级。
在信息领域支撑企业提升管理与转变的除ISO27001体系外,另外一项信息管理认证——ITSS信息技术服务也值得关注。ITSS是一套体系化的信息技术服务标准库,全面规范了信息技术服务产品及其组成要素,用于指导实施标准化的信息技术服务。是在工业和信息化部、国家标准化委的领导和支持下,由ITSS工作组研制的一套体系化的信息技术服务标准库和一套提供IT服务的方法论。其内容包括:咨询设计、集成实施、运行维护、服务管控、服务外包、云服务、数据服务、智能服务、治理、数据管理等。
哪些企业可以认证?适合以从事信息技术咨询、设计与开发、运行维护、系统集成服务、服务管控、云计算服务等领域的企业进行认证。该标准认证以等级划分,分为一至四级。一级为最高级。企业首次认证只能做三级或四级,四级是最基本的要求,只需要建立ITSS标准要求体系,完全没有指标的考核要求,ITSS分会组织进行的最终考核也只是对地方评估机构的评估结果进行审查和确认,所以这是最简单最基础的等级。
ITSS标准体系是我国IT服务行业最佳实践的总结和提升,也是我国从事IT服务研发、供应、推广和应用等各类组织自主创新成果的固化。
除深圳商务局的中央外经贸发展专项资金(服务贸易事项)文件规定获得信息技术服务标准(ITSS),给予不超过实际发生额50%、总额不超过50万元的支持外。近期深圳市坪山区政府也印发了关于产业发展专项资金系列政策的通知。
对深圳市坪山区企业在上年度取得ITSS(信息技术服务标准)三级及以上认证、CMM/CMMI(软件能力成熟度模型)三级及以上认证的企业,按每个资质一次性资助30万元,给予单个企业最高150万元资助。该政策文件自2021年6月21日起施行,有效期至2024年12月31日。
信息安全对每个企业或组织而言都是极具重要性的,所以信息安全管理认证具有普遍适用性,不受地域、产业类别和公司规模限制。企业通过认证之后,不仅可以向竞争对手、客户、员工和投资方表示自己在同行之中占据一定的领导地位,而且也会定期的进行监督管理审核,从而保障组织机构的信息系统不断地完善,让客户更加感受到组织对信息安全的承诺。