信息安全认证

备战信息安全管理体系审核

admin

信息安全管理第三方认证为组织的信息安全体系提供客观公正的评价,使组织在信息安全管理方面有更大的可信性,并且能够使用证书向利益相关的组织提供信心保证。对此,昆明亭长朗然科技有限公司信息安全顾问专员董志军称:信息安全管理体系认证的好处不用多说,在经历了长期的信息安全管理体系建设之后,通过第三方独立而权威的组织的审计,获得ISO/IEC等国际权威机构的认证,是组织机构的高管以及信息安全管理层的重要目标,也是信息安全管理体系成功的一项重要展示奖项。

在允许外部审计师进行正式的认证审核之前,组织很有必要进行一项针对信息安全管理体系的设计和实施的全面的复查。

复查应该由组织的内部审计团队进行,在ISO 27001的章节中有强制性规定内审团队要负责审计活动。

一项全面、逐步的审核很有必要,它不仅能找出安全认证计划中可能漏掉的关键步骤,而且是确保信息安全管理体系得到适当和全面部署的最好的方法。

评审的流程需按照ISO 27001中关于评审的要求得以建立和归档,当一个详细的审核完成后,管理层应该评审相关的发现,并且这些报告应该按照ISO 27001的章节要求进行存档。

通常来讲,高管以及信息安全总监发起信息安全管理体系计划,并对其进行支持和赞助,这就需要有相应的组织团队。同时,也需要信息安全专业人员,ISO 27001就有一些培训课程,典型的比如面向Internal Auditor(内审员)和Lead Auditor(主任审核员)的培训课程,当然,也有面向Executive高阶管理层的信息安全领导课程,以及面向全员的信息安全意识课程。

虽然不比专业的信息安全及审核方面的认证如CISSP和CISA等含金量高,但是这些仍然很值得实施信息安全管理体系的组织和人员参加。

内审员的培训课程一般为三天,适合欲建立一套符合ISO 27001标准的信息安全管理体系的企业,组织中将要执行内审的人士以及IT经理、系统经理、IT安全经理等。

主任审核员的培训课程一般为五天,是内部审核员的进阶课程,适合于想把信息安全管理体系引入组织的人员以及立志为第三方认证机构工作的人员,它如何管理和领导信息安全管理体系审核活动。

请注意,由于组织中信息安全相关人员的职责有些差异,所以相关的培训课程也会不断地变化,例如近些年,很多信息安全培训机构已经更新了相关的信息安全管理体系课程,以便更加有角色的针对性。昆明亭长朗然科技有限公司在成立之初,便创作推出了“九章信安”信息安全管理体系实施课程,该课程由24段动画以及知识讲解视频组成,向众多组织机构的信息安全管理人员科普了必要的知识。近年来,我们创作了大量的针对管理层和普通职员的信息安全意识及最佳操作课程,与人们的日常信息安全实践密切相关,用于提升全员的信息安全能力和素养。进一步,推动组织建立成功的信息安全管理体系,并获得权威机构的认证。

欢迎有兴趣预览作品的客户及行业伙伴联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

为高科技企业提供在线信息安全意识培训

admin

易程科技股份有限公司是清华大学整合所属企业优势资源组建成立的股份制公司,是中国交通行业解决方案供应商。公司立足于自主核心技术,并基于客户需求持续创新,在国内外高速铁路、航空、枢纽、城际及城市轨道交通等领域提供业务咨询、系统集成、技术产品和运营服务,致力于全方位改善旅客的出行方式。

信息化是包括交通出行在内的社会各行业的强力驱动力,随着大数据和人工智能技术的不断发展和广泛推广,以此为基础的智慧城市交通解决方案开始实施落地,多种高尖科技的组合将有助于解决目前的交通拥堵问题,提高交通方面的管理效率。其中无线传感技术、人工智能识别技术是基础技术条件,大数据分析系统、智能调度系统、智能控制系统、通过智能警示系统、智能预警系统等大量人工智能模块是核心,将进行融合工作和有效配合,进而形成一种高效的管理体制。科技支持、信息铺路,智慧城市交通主要是以各种先进的高科技软件系统为基础建立起来的,各种交通数据信息代表着出行者的身份信息和位置信息。这些软件系统是需要得到重点保护的关键信息基础设施,海量的交通数据信息涉及到国家安全和公民隐私,亦需要得到必要的数据安全保护。要解决数字化智能交通中的安全问题,需要整个行业遵循统一的安全标准,建立系统性的安全防御机制。易程科技积极建立基于国际标准的信息安全管理体系,以期在保护好公司核心商业秘密如核心软件代码的同时,与客户及行业伙伴们一起,共建数字化智慧交通的安全新生态。

易程科技总裁办牵头,启动了信息安全管理体系的建立工作,在针对全员的信息安全意识培训方面,该公司安全培训负责人联系到我司,与我司讨论弹性化的在线培训方式。我司了解到:对于快速增长的IT高新科技型企业来讲,很多员工经常出差,甚至长期驻扎在客户现场,很难为他们安排出固定的培训时间和场地。同时,交通行业对系统的可用性要求极高,可容忍的中断时间很短,对服务商来讲,要确保培训对中断工作的可能影响在最低水平。因此,随时随地可以开启学习、暂停学习并在下次返回后继续学习的eLearning方式对于易程科技是非常必要的。了解到客户的这些需求,我们为客户快速创作了基于ISO/IEC 27001标准体系的员工培训电子课件,大约90分钟的课件包括信息安全知识讲解、动画视频、互动游戏、在线承诺、考试检测和证书发放。客户对课程内容很满意,我们将课件包导入基于云端的在线学习管理平台,客户在线体验了管理员功能之后觉得功能太多,只需要给培训部门一个学习进度报表功能就行。大道至简,我们理解客户不关心学习管理平台的复杂而强大的功能,只需要看到培训的进度和成果,于是我们设置了一个定时生成学习进度报表的计划任务,以便于培训专员随时获取报表,并根据学习情况进行培训活动的推进。

如今的商业经济世界里,商场如战场,商业机密作为一种企业的无形资产,在企业中具有举足轻重的作用,在一定的时间内能给企业带来巨大的经济利益和丰厚的回报,在商战中处于不败之地。源自清华大学的优势科技企业更是了解商业秘密对于公司成功的重要性,因此,易程科技把保护商业秘密提升到企业生命线的位置,公司总裁办执行安全保密管理工作职责,实施了大量的信息安全控管措施。在人员安全方面,易程科技非常尊重和重视人才,也认识到员工们在整体安全保密工作中的重要性,因此把员工培训、绩效考核、职业发展与员工的信息安全意识和行为有效结合,通过各种考核、检查与激励措施,在确保员工们积极学习安全和践行安全的过程中,致力于培育长期的安全保密文化。

PDCA周期循环法是不断改进信息安全管理体系工作的一个简便易行的方法,也被易程科技用来不断改进信息安全意识培训。通过不断创新年度安全意识培训内容,我们帮助客户持续不断地改进员工安全与保密培训活动,刷新和强化员工们的安全保密意识,进而促进信息安全管理体系建设工作的螺旋式上升。为了向客户、合作伙伴及相关方证明其信息安全水平和能力,易程科技启动了ISO/IEC 27001体系认证工作。作为国际上具有代表性的信息安全管理体系标准,ISO/IEC 27001已在世界各地的政府机构、银行、证券、保险公司、电信运营商、网络公司及跨国公司得到了广泛应用,我们的课程中包含很多信息安全管理体系的建立、运行和改进的思想,可以让管理者对信息安全管理体系有一个初步的了解,让领导们掌握信息安全管理体系的理念和作用,同时也让各部门的员工们理解公司面临的信息安全风险,以及各类旨在降低和应对风险的安全控管措施,并积极地在工作中支持和配合相应的信息安全控管措施。看到客户多年来坚持不懈地使用我司的“云端”在线电子学习平台来进行全员的信息安全与保密意识培训,我们有充分的理由相信易程科技保护商业秘密、确保智慧交通安全的信心和决心。同时我们也确信,这种通过建立信息安全管理体系、不断提升员工信息安全意识的作法值得业界参照,不仅有利于在公司内建立适当的风险和安全文化,同时也有助于降低人为因素造成的安全泄密事故发生率。