|
|
|
|
|
|
2019-01-04
一、 標(biāo)準(zhǔn)更新背景及影響 2018年9月15日,ISO/IEC20000-1:2018標(biāo)準(zhǔn)正式發(fā)布,標(biāo)志著自2011年ISO20000標(biāo)準(zhǔn)更新后的一次重大變化,轉(zhuǎn)換期為標(biāo)準(zhǔn)發(fā)布后的3年。本次標(biāo)準(zhǔn)變換對(duì)已經(jīng)通過ISO20000認(rèn)證的企業(yè)將產(chǎn)生以下影響: 1.無論2011版證書的簽發(fā)日期是何時(shí),所有ISO/IEC 20000-1:2011證書將在2021年9月29日失效。 2.已獲得2011版ISO20000證書必須在2021年9月30日之前轉(zhuǎn)版為ISO/IEC 20000-1:2018。 3.轉(zhuǎn)換期內(nèi)針對(duì)ISO/IEC 20000-1:2011版頒發(fā)的新證書的有效期不遲于2021年9月29日。 二、 標(biāo)準(zhǔn)更新內(nèi)容 本次ISO20000標(biāo)準(zhǔn)更新涉及以下內(nèi)容: 標(biāo)準(zhǔn)結(jié)構(gòu)調(diào)整 ISO/IEC 20000-1:2018標(biāo)準(zhǔn)的內(nèi)容采用與ISO/IEC 22301:2012,ISO/IEC 27001:2013, ISO 9001:2015和ISO 14001:2015等其他流行管理系統(tǒng)標(biāo)準(zhǔn)相同的結(jié)構(gòu)。 條款內(nèi)容變化 三、 體系換版工作內(nèi)容 ? 1.新標(biāo)準(zhǔn)差距分析 已獲得ISO20000:2011版證書的企業(yè)應(yīng)當(dāng)根據(jù)本次更新的新標(biāo)準(zhǔn)重新開展差距分析,為后續(xù)換版工作提供依據(jù)和支持。 ? 2.風(fēng)險(xiǎn)評(píng)估 根據(jù)標(biāo)準(zhǔn)新增的風(fēng)險(xiǎn)管理要求,針對(duì)IT服務(wù)管理工作開展風(fēng)險(xiǎn)評(píng)估。 ? 3.體系文件更新 針對(duì)新...
2017-09-26
通過開展信息科技風(fēng)險(xiǎn)管理咨詢工作,全面、準(zhǔn)確地了解銀行的信息科技風(fēng)險(xiǎn)管理現(xiàn)狀,基于銀監(jiān)會(huì)發(fā)布的《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《數(shù)據(jù)中心監(jiān)管指引》、《業(yè)務(wù)連續(xù)性管理指引》、《信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》等監(jiān)管合規(guī)要求,結(jié)合商業(yè)銀行自身現(xiàn)狀,完善信息科技治理架構(gòu),涉及信息科技風(fēng)險(xiǎn)管理合規(guī)框架,開展信息科技風(fēng)險(xiǎn)評(píng)估并建立風(fēng)險(xiǎn)持續(xù)檢測(cè)機(jī)制,指導(dǎo)商業(yè)銀行在信息安全、信息系統(tǒng)開發(fā)維護(hù)、科技運(yùn)行、業(yè)務(wù)連續(xù)性、信息科技外包等領(lǐng)域建立并完善各類風(fēng)險(xiǎn)控制措施,有效滿足監(jiān)管要求。 構(gòu)建合規(guī)框架 以《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》為框架,關(guān)聯(lián)映射各類內(nèi)外部合規(guī)要求,包括但不限于內(nèi)部現(xiàn)有制度文件、ISO27001、ISO20000、CMMI等。確保各類合規(guī)要求均被有效整合在信息科技風(fēng)險(xiǎn)合規(guī)框架內(nèi)。基于整體合規(guī)框架的要求,指導(dǎo)銀行完善現(xiàn)有信息科技風(fēng)險(xiǎn)管理組織架構(gòu),進(jìn)一步明確信息科技風(fēng)險(xiǎn)管理職責(zé)歸屬,優(yōu)化跨部門協(xié)調(diào)工作機(jī)制。 規(guī)劃科技風(fēng)險(xiǎn)建設(shè)藍(lán)圖 基于銀行信息科技風(fēng)險(xiǎn)管理現(xiàn)狀,規(guī)劃3到5年的信息科技風(fēng)險(xiǎn)管理整體工作目標(biāo),結(jié)合現(xiàn)有不足,繪制體系建設(shè)發(fā)展路線圖。從管理、技術(shù)、意識(shí)能力三大方面...
? 安言咨詢-網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第1部分:安全通用要求解讀
2017-05-02
國家標(biāo)準(zhǔn)GB/T 22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求在開展信息安全等級(jí)保護(hù)工作的過程中起到了非常重要的作用,被廣泛應(yīng)用于各個(gè)行業(yè)和領(lǐng)域開展信息安全等級(jí)保護(hù)的建設(shè)整改和等級(jí)測(cè)評(píng)等工作,但是隨著信息技術(shù)的發(fā)展,GB/T 22239-2008在適用性、時(shí)效性、易用性、可操作性上需要進(jìn)一步完善。 為了適應(yīng)移動(dòng)互聯(lián)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)、新應(yīng)用情況下信息安全等級(jí)保護(hù)工作的開展,需對(duì)GB/T 22239-2008進(jìn)行修訂,修訂的思路和方法是針對(duì)移動(dòng)互聯(lián)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)、新應(yīng)用領(lǐng)域提出擴(kuò)展的安全要求。 對(duì)GB/T 22239-2008的修訂完成后,基本要求標(biāo)準(zhǔn)成為由多個(gè)部分組成的系列標(biāo)準(zhǔn),目前主要有六個(gè)部分:第1部分 安全通用要求;第2部分 云計(jì)算安全擴(kuò)展要求;第3部分 移動(dòng)互聯(lián)安全擴(kuò)展要求;第4部分 物聯(lián)網(wǎng)安全擴(kuò)展要求;第5部分 工業(yè)控制安全擴(kuò)展要求;第6部分 大數(shù)據(jù)安全擴(kuò)展要求。 安言咨詢對(duì)以上網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求中的第1部分: 安全通用要求,根據(jù)自己的專業(yè)見解進(jìn)行了解讀。 詳情請(qǐng)點(diǎn)擊下方PDF鏈接閱讀...
? 2013年信用卡中心信息安全現(xiàn)狀調(diào)研報(bào)告
2015-02-09
進(jìn)入2014年以來,信息安全事件層出不窮,信用卡行業(yè)的信息安全管理工作面臨著前所未有的挑戰(zhàn)。應(yīng)浦發(fā)銀行股份有限公司信用卡中心要求,于2014年1月至2014年2月開展上海地區(qū)信用卡中心調(diào)研活動(dòng)并在當(dāng)年4月25日特別召開了一次成果分享研討會(huì),邀來參與此次調(diào)研的卡中心等相關(guān)人員參與會(huì)議。 在此特別感謝浦發(fā)銀行信用卡中心、建設(shè)銀行信用卡中心、興業(yè)銀行信用卡中心、招商銀行信用卡中心、農(nóng)業(yè)銀行信用卡中心、廣發(fā)銀行信用卡中心等相關(guān)人員對(duì)本次調(diào)研的大力支持和幫助! 本次調(diào)研活動(dòng)受到時(shí)間及資源的限制,主要關(guān)注安全管理組織架構(gòu)、安全技術(shù)應(yīng)用情況、業(yè)務(wù)支撐相關(guān)情況的相關(guān)內(nèi)容,其范圍及內(nèi)容可能還不完整。此外, 由于本次是初次嘗試開展此類卡中心間的調(diào)研活動(dòng),故其過程和整個(gè)展現(xiàn)形式并非十分成熟,若存在不當(dāng)之處還請(qǐng)見諒。 本公司對(duì)本報(bào)告保留一切權(quán)利。未經(jīng)本公司事先書面授權(quán),本此分發(fā)給其他人,或轉(zhuǎn)載,獲益任何侵犯本公司版權(quán)的其他方式使用。 報(bào)告中所提到的“卡中心”均指參與到本次調(diào)研活動(dòng)的信用卡中
? ISO27001與銀行信息科技風(fēng)險(xiǎn)管理指引對(duì)比映射
2015-02-09
《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》共十一章七十六條,涵蓋了信息科技風(fēng)險(xiǎn)管理的各個(gè)領(lǐng)域,同時(shí)針對(duì)銀行現(xiàn)有的組織架構(gòu),對(duì)各部門也明確提出了風(fēng)險(xiǎn)管理的要求,以下將就主要條款做一個(gè)深入的解析。 第一章總則,明確了指引的目標(biāo)和適用范圍,指出信息科技是指計(jì)算機(jī)、通信、微電子和軟件工程等現(xiàn)代信息技術(shù),在商業(yè)銀行業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用,并包括進(jìn)行信息科技治理,建立完整的管理組織架構(gòu),制訂完善的管理制度和流程。信息科技風(fēng)險(xiǎn)管理的目標(biāo)是通過建立有效的機(jī)制,實(shí)現(xiàn)對(duì)商業(yè)銀行信息科技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制,促進(jìn)商業(yè)銀行安全、持續(xù)、穩(wěn)健運(yùn)行,推動(dòng)業(yè)務(wù)創(chuàng)新,提高信息技術(shù)使用水平,增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展能力。 第二章信息科技治理,明確提出了信息科技治理的概念,明確了信息科技風(fēng)險(xiǎn)管理的責(zé)任人,董事會(huì)的相關(guān)職責(zé),并明確要求商業(yè)銀行應(yīng)設(shè)立或指派一個(gè)特定部門負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作,并直接向首席信息官或首席風(fēng)險(xiǎn)官(風(fēng)險(xiǎn)管理委員會(huì))報(bào)告工作。此章最重要的是明確了商業(yè)銀行風(fēng)險(xiǎn)管理部門、信息科技部門以及內(nèi)部審計(jì)部門在信息科技風(fēng)險(xiǎn)管理中承擔(dān)不同的角色和職責(zé),互相協(xié)作共同完善信息科技風(fēng)險(xiǎn)管理的架構(gòu)。 第三章...
2015-02-09
2013年,隨著云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)的不斷推廣應(yīng)用,以及國民經(jīng)濟(jì)和社會(huì)各領(lǐng)域信息化程度的不斷提升,尤其是移動(dòng)互聯(lián)網(wǎng)的迅猛發(fā)展,網(wǎng)絡(luò)日益呈現(xiàn)開放性、共享性特征,且互連程度不斷擴(kuò)大,但隨之而來的網(wǎng)絡(luò)安全問題也滲透到各個(gè)領(lǐng)域,攻與防的較量日趨白熱化,網(wǎng)絡(luò)已經(jīng)成為一個(gè)新興的戰(zhàn)場(chǎng)。在國家安全層面,網(wǎng)絡(luò)空間成為繼陸、海、空、天之后的第五維作戰(zhàn)空間,信息安全已經(jīng)成為國家間戰(zhàn)略博弈的焦點(diǎn),“棱鏡”事件充分表明國家間網(wǎng)絡(luò)安全競(jìng)爭(zhēng)與對(duì)抗日趨激烈,對(duì)網(wǎng)絡(luò)空間主導(dǎo)權(quán)的爭(zhēng)奪逐漸白熱化。在城市運(yùn)行安全層面,隨著智慧城市建設(shè)的持續(xù)推進(jìn),涉及國計(jì)民生的重點(diǎn)行業(yè)以及城市的功能運(yùn)轉(zhuǎn)越來越依賴于基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的安全可靠運(yùn)行,信息安全風(fēng)險(xiǎn)也將對(duì)城市公共安全構(gòu)成嚴(yán)重挑戰(zhàn)。企業(yè)法人安全層面,一方面,國內(nèi)外IT巨頭企業(yè)日益掌握信息技術(shù)、產(chǎn)品、和服務(wù)的主導(dǎo)權(quán),越來越多網(wǎng)絡(luò)和信息系統(tǒng)的安全可靠運(yùn)行受制于少數(shù)IT技術(shù)產(chǎn)品供應(yīng)商提供的產(chǎn)品和服務(wù),一旦此類企業(yè)本身發(fā)生安全事件,可能產(chǎn)生十分嚴(yán)重的影響;另一方面,企業(yè)核心數(shù)據(jù)、商業(yè)秘密和經(jīng)濟(jì)情報(bào)等信息資產(chǎn)日益成為網(wǎng)絡(luò)黑客活動(dòng)的目標(biāo),產(chǎn)生的安全事件可能嚴(yán)重?cái)_亂社會(huì)經(jīng)濟(jì)秩序。在公民...
2015-02-09
為了深刻揭示國內(nèi)外信息安全事件的影響和發(fā)展規(guī)律,積極應(yīng)對(duì)信息安全風(fēng)險(xiǎn),我們組織上海市信息安全行業(yè)協(xié)會(huì)、上海安言信息技術(shù)有限公司等單位,整理匯編有關(guān)媒體公開信息,并通過組織網(wǎng)絡(luò)投票,聽取專家意見,從危及國家安全、重大社會(huì)影響、重大經(jīng)濟(jì)損失三個(gè)方面選錄了22個(gè)重大事件,編寫成本報(bào)告。希望通過對(duì)2012年國內(nèi)外發(fā)生的重大信息安全事件進(jìn)行全面回顧,更好地警示宣傳有關(guān)信息安全問題,對(duì)新形勢(shì)、新威脅和新風(fēng)險(xiǎn)有更加全面的認(rèn)識(shí),為信息安全管理和技術(shù)人員研究解決相關(guān)問題提供決策參考。2012年,隨著云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)、新應(yīng)用的不斷推廣,以及智慧城市的不斷建設(shè)發(fā)展,全球范圍內(nèi)對(duì)信息安全更加關(guān)注,信息安全形勢(shì)正在發(fā)生更加深刻的變化。一方面,信息技術(shù)與現(xiàn)實(shí)世界的聯(lián)系日益緊密,物聯(lián)網(wǎng)、工控系統(tǒng)等在國家關(guān)鍵基礎(chǔ)設(shè)施、經(jīng)濟(jì)命脈行業(yè)的普遍應(yīng)用,使信息安全問題更加深刻和廣泛地影響社會(huì)穩(wěn)定、經(jīng)濟(jì)發(fā)展和國家安全。另一方面,信息安全風(fēng)險(xiǎn)也不斷演化發(fā)展:黑客行動(dòng)日漸組織化、規(guī)模化,從原來以單純追求技術(shù)突破或經(jīng)濟(jì)利益為出發(fā)點(diǎn)的行為逐步向表達(dá)訴求、伸張政治觀點(diǎn)演化;商業(yè)秘密及個(gè)人信息遭非法泄露、竊取、倒賣事件頻發(fā),網(wǎng)絡(luò)信息...
