移动互联网蓬勃兴起、智能手机的广泛采用、云计算技术的风起云涌,带来了全新的网络威胁、数据泄漏和欺诈的风险,信息安全管理对企业信息技术的发展越来越重要。面对这样的变化和趋势,上药控股在信息安全管理上取得了一定的成效,经过为期两天的信息安全检查,最终以通过认证的结果获取iso27001证书。
小科普
iso27001认证是世界上应用最广泛与典型的信息安全管理标准,是现代it企业信息安全标准的重要体现,同时也是信息安全管理领域迄今最为重要的标准之一。最具权威性的是中国国家认监委认可的cnas(china national accreditation service for conformity assessment ),和全球通用的英国皇家认可委员会ukas(united kingdom accreditation service)证书,双证均为双语。
认证内容
基于该认证的权威性以及重要性,公司信息技术部从2017年10月开始,历时8个月,从项目立项开始到信息安全检查圆满结束,各部门员工积极配合调研,体系制度文件反复斟酌。本次认证既要考虑企业内部当前现状,又要落实安全合规并符合上药控股信息发展的要求,涉及14个安全控制措施,上百项实施条款。
认证流程
为了顺利通过认证,信息技术部首先梳了当前现状,进行了风险评估和差距分析,能力成熟度目前为2级(最高5级,银行一般4级),属于较初级的安全体系;然后搭建了符合安全目标(3级)的体系架构,对初期发现的近20项风险点进行改造升级;试运行3个月,确定体系文件的可行有效;再由信息技术部内部管理评审,合格后邀请专业的认证公司进行评审:初次审核文档,没有不符合项后可以进行二次评审,主要审核体系的执行情况。全部完成且没有不符合项后方可发放证书。
▲评审老师进行核查
认证涉及体系文档28篇,四级表单48份,覆盖了信息工作的各个角落,从文件的记录到系统的管理以及日常工作要求等等,三位dnv专业评审老师对每个条线负责的工作内容有针对性的进行符合性评估。两次评审中发现的潜在风险,现基本改正或已提出整改方案及期限。此次认证肯定了现有的成绩,也为信息安全的发展提出了改进方向,更好地保障上药控股整体信息安全。
▲二次评审末次会议合照
认证结果
通过两次现场审核, 本次审核无不符合项,顺利取得cnas和ukas证书。
该证书需要每年复查,不断完善自身体系架构,提供更加安全的保障措施。本次认证为信息安全的道路奠定了坚实牢固的基础,明确了安全建设发展的方向。体系制度的落地实施是向前迈出的一大步,未来依旧会在信息技术安全体系的道路上大步向前,预计细化新增体系文件近20篇以逐步完善当前信息安全的体系结构, 与此同时持续跟进改进措施让安全渗透在工作生活的各个层面。
认证价值
符合法律法规要求。有利于保护企业和相关方的信息系统安全、知识产权、商业秘密等。
维护企业的声誉、品牌和客户信任。证明公司信息安全管理实力,提升整体品牌形象。
履行信息安全管理责任。证明公司在信息安全保护上付出了卓有成效的努力,表明管理层履行了相关责任。
增强员工的意识、责任感和相关技能。有利于规范组织信息安全行为,减少人为原因造成的不必要的损失。
保持业务持续发展和竞争优势。建立全面信息管理体系,证明公司核心业务所赖以持续的各项信息资产得到了妥善保护。
实现风险管理。保证公司自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
减少损失,降低成本。能降低因为潜在安全事件发生而给公司带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度。
上药控股通过实施iso27001认证,进一步定义、评估、控制风险,增强了公司内部安全意识,谨防数据的误用和丢失,确保经营的持续性和能力。与此同时,通过遵守国际标准的信息安全管理体系,上药控股将秉承“控制风险,持续改进”的信息安全八字方针,为上游客户及下游供应商提供更加安全可靠的信息服务,提高企业核心竞争力和品牌形象塑造力。