2019-01-04
一、 标准更新背景及影响 2018年9月15日,ISO/IEC20000-1:2018标准正式发布,标志着自2011年ISO20000标准更新后的一次重大变化,转换期为标准发布后的3年。本次标准变换对已经通过ISO20000认证的企业将产生以下影响: 1.无论2011版证书的签发日期是何时,所有ISO/IEC 20000-1:2011证书将在2021年9月29日失效。 2.已获得2011版ISO20000证书必须在2021年9月30日之前转版为ISO/IEC 20000-1:2018。 3.转换期内针对ISO/IEC 20000-1:2011版颁发的新证书的有效期不迟于2021年9月29日。 二、 标准更新内容 本次ISO20000标准更新涉及以下内容: 标准结构调整 ISO/IEC 20000-1:2018标准的内容采用与ISO/IEC 22301:2012,ISO/IEC 27001:2013, ISO 9001:2015和ISO 14001:2015等其他流行管理系统标准相同的结构。 条款内容变化 三、 体系换版工作内容 1.新标准差距分析 已获得ISO20000:2011版证书的企业应当根据本次更新的新标准重新开展差距分析,为后续换版工作提供依据和支持。 2.风险评估 根据标准新增的风险管理要求,针对IT服务管理工作开展风险评估。 3.体系文件更新 针对新...
2017-09-26
通过开展信息科技风险管理咨询工作,全面、准确地了解银行的信息科技风险管理现状,基于银监会发布的《商业银行信息科技风险管理指引》、《数据中心监管指引》、《业务连续性管理指引》、《信息科技外包风险监管指引》等监管合规要求,结合商业银行自身现状,完善信息科技治理架构,涉及信息科技风险管理合规框架,开展信息科技风险评估并建立风险持续检测机制,指导商业银行在信息安全、信息系统开发维护、科技运行、业务连续性、信息科技外包等领域建立并完善各类风险控制措施,有效满足监管要求。 构建合规框架 以《商业银行信息科技风险管理指引》为框架,关联映射各类内外部合规要求,包括但不限于内部现有制度文件、ISO27001、ISO20000、CMMI等。确保各类合规要求均被有效整合在信息科技风险合规框架内。基于整体合规框架的要求,指导银行完善现有信息科技风险管理组织架构,进一步明确信息科技风险管理职责归属,优化跨部门协调工作机制。 规划科技风险建设蓝图 基于银行信息科技风险管理现状,规划3到5年的信息科技风险管理整体工作目标,结合现有不足,绘制体系建设发展路线图。从管理、技术、意识能力三大方面...
• 安言咨询-网络安全等级保护基本要求 第1部分:安全通用要求解读
2017-05-02
国家标准GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求在开展信息安全等级保护工作的过程中起到了非常重要的作用,被广泛应用于各个行业和领域开展信息安全等级保护的建设整改和等级测评等工作,但是随着信息技术的发展,GB/T 22239-2008在适用性、时效性、易用性、可操作性上需要进一步完善。 为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下信息安全等级保护工作的开展,需对GB/T 22239-2008进行修订,修订的思路和方法是针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域提出扩展的安全要求。 对GB/T 22239-2008的修订完成后,基本要求标准成为由多个部分组成的系列标准,目前主要有六个部分:第1部分 安全通用要求;第2部分 云计算安全扩展要求;第3部分 移动互联安全扩展要求;第4部分 物联网安全扩展要求;第5部分 工业控制安全扩展要求;第6部分 大数据安全扩展要求。 安言咨询对以上网络安全等级保护基本要求中的第1部分: 安全通用要求,根据自己的专业见解进行了解读。 详情请点击下方PDF链接阅读...
2015-02-09
进入2014年以来,信息安全事件层出不穷,信用卡行业的信息安全管理工作面临着前所未有的挑战。应浦发银行股份有限公司信用卡中心要求,于2014年1月至2014年2月开展上海地区信用卡中心调研活动并在当年4月25日特别召开了一次成果分享研讨会,邀来参与此次调研的卡中心等相关人员参与会议。 在此特别感谢浦发银行信用卡中心、建设银行信用卡中心、兴业银行信用卡中心、招商银行信用卡中心、农业银行信用卡中心、广发银行信用卡中心等相关人员对本次调研的大力支持和帮助! 本次调研活动受到时间及资源的限制,主要关注安全管理组织架构、安全技术应用情况、业务支撑相关情况的相关内容,其范围及内容可能还不完整。此外, 由于本次是初次尝试开展此类卡中心间的调研活动,故其过程和整个展现形式并非十分成熟,若存在不当之处还请见谅。 本公司对本报告保留一切权利。未经本公司事先书面授权,本此分发给其他人,或转载,获益任何侵犯本公司版权的其他方式使用。 报告中所提到的“卡中心”均指参与到本次调研活动的信用卡中
2015-02-09
《商业银行信息科技风险管理指引》共十一章七十六条,涵盖了信息科技风险管理的各个领域,同时针对银行现有的组织架构,对各部门也明确提出了风险管理的要求,以下将就主要条款做一个深入的解析。 第一章总则,明确了指引的目标和适用范围,指出信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技治理,明确提出了信息科技治理的概念,明确了信息科技风险管理的责任人,董事会的相关职责,并明确要求商业银行应设立或指派一个特定部门负责信息科技风险管理工作,并直接向首席信息官或首席风险官(风险管理委员会)报告工作。此章最重要的是明确了商业银行风险管理部门、信息科技部门以及内部审计部门在信息科技风险管理中承担不同的角色和职责,互相协作共同完善信息科技风险管理的架构。 第三章...
2015-02-09
2013年,随着云计算、大数据、移动互联网等新技术的不断推广应用,以及国民经济和社会各领域信息化程度的不断提升,尤其是移动互联网的迅猛发展,网络日益呈现开放性、共享性特征,且互连程度不断扩大,但随之而来的网络安全问题也渗透到各个领域,攻与防的较量日趋白热化,网络已经成为一个新兴的战场。在国家安全层面,网络空间成为继陆、海、空、天之后的第五维作战空间,信息安全已经成为国家间战略博弈的焦点,“棱镜”事件充分表明国家间网络安全竞争与对抗日趋激烈,对网络空间主导权的争夺逐渐白热化。在城市运行安全层面,随着智慧城市建设的持续推进,涉及国计民生的重点行业以及城市的功能运转越来越依赖于基础网络和重要信息系统的安全可靠运行,信息安全风险也将对城市公共安全构成严重挑战。企业法人安全层面,一方面,国内外IT巨头企业日益掌握信息技术、产品、和服务的主导权,越来越多网络和信息系统的安全可靠运行受制于少数IT技术产品供应商提供的产品和服务,一旦此类企业本身发生安全事件,可能产生十分严重的影响;另一方面,企业核心数据、商业秘密和经济情报等信息资产日益成为网络黑客活动的目标,产生的安全事件可能严重扰乱社会经济秩序。在公民...
2015-02-09
为了深刻揭示国内外信息安全事件的影响和发展规律,积极应对信息安全风险,我们组织上海市信息安全行业协会、上海安言信息技术有限公司等单位,整理汇编有关媒体公开信息,并通过组织网络投票,听取专家意见,从危及国家安全、重大社会影响、重大经济损失三个方面选录了22个重大事件,编写成本报告。希望通过对2012年国内外发生的重大信息安全事件进行全面回顾,更好地警示宣传有关信息安全问题,对新形势、新威胁和新风险有更加全面的认识,为信息安全管理和技术人员研究解决相关问题提供决策参考。2012年,随着云计算、物联网、移动互联网等新技术、新应用的不断推广,以及智慧城市的不断建设发展,全球范围内对信息安全更加关注,信息安全形势正在发生更加深刻的变化。一方面,信息技术与现实世界的联系日益紧密,物联网、工控系统等在国家关键基础设施、经济命脉行业的普遍应用,使信息安全问题更加深刻和广泛地影响社会稳定、经济发展和国家安全。另一方面,信息安全风险也不断演化发展:黑客行动日渐组织化、规模化,从原来以单纯追求技术突破或经济利益为出发点的行为逐步向表达诉求、伸张政治观点演化;商业秘密及个人信息遭非法泄露、窃取、倒卖事件频发,网络信息...