研讨会现场
近几年,IT 领域和通信行业发生了非常大的变革,大数据进入商业应用、移动互联网蓬勃兴起、智能终端的广泛采用、云计算技术的风起云涌,信息安全风险也发生了深刻的变化。伴随着信息化的发展,对于信息系统的治理、控制与审计、信息的保密性、完整性和实用性等内容正在全球范围内成为关注的热点。深圳市世贸组织事务中心焦慧莹部长表示:"近期国内国际都在加快安全管理规范的步伐,可见大家对的'信息安全管理'知识的渴求。信息资产作为一种无形财产权,是组织的一种重要的经济资源,在当代,信息资产也成为一个战略问题,在国家和企业中的地位也不断提升。深圳市世贸组织事务中心将加强联合像 SGS这样的业界权威机构,在出口的第三方认证、检测、技术等方面给企业给予更多支持,协助企业积极应对市场风云,提升企业国际竞争力。
会议现场,SGS 专家为近百名参会企业代表分享了就新版 ISO 27001在 ISO MSS(Annex SL)框架下的管理要求变更(包括变更的历程、要点、重点)、ISO 27001在信息资产保护的应用、信息资产保护最佳解决方案等话题。SGS 技术专家表示:随着企业自身成熟度的提高以及监管机构的要求逐步强化,至上而下行之有效的信息化管理,避免信息在质量、数量、分发的任何环节出现偏差,是保持竞争优势,不断发展壮大的有力保障。SGS 建议企业通过采取以下措施,以改版为契机提升企业信息安全管理:
1. 企业管理者代表或其他负责人积极参加新版标准解读或相关研讨会了解标准改版内容,用于领导和策划改版工作;企业内部审核员、风险评估小组成员参加专业技术培训,了解改版方向;
2. 在企业人员了解标准改版方向及要点后,应该内部进行风险管理检查,评估原有风险管理程序和风险评估过程记录,修订程序,进行风险再评估,从原来的信息资产关注转换为业务风险和相关方影响关注;
3. 进行体系文件升级,根据新标准要求并结合风险再评估结果,主要对手册、SoA、制度和表格进行修订,并重点关注职责权限、信息安全管理目标、利益相关方的信息安全需求收集、供应链信息安全风险的考虑;
4. 对体系运行评审,修订后的体系在运行一段时间后,组织利用信息安全目标、有效性测量、内部审核、管理评审等评审工具对体系的运行进行评审,从而为迎接新版的外部评审做好准备。
