喜报! Sinokap顺利通过ISO信息技术服务和安全管理体系认证
经过国家公认权威机构严格地考察和审核,Sinokap凭借成熟的管理、规范的流程、丰富的经验及雄厚的实力,顺利通过ISO/IEC 27001:2013信息安全管理体系认证和ISO/IEC 20000-1:2018信息技术服务管理体系认证。
Sinokap一直以高标准、严要求、规范化运营管理作为基本准则,这两体系认证的获得,意味着我们在信息安全管理以及技术服务等方面已建立起一套规范化、程序化流程体系,并达到国际、国内先进管理标准,这是对Sinokap各项工作规范化、标准化的认可,同时也是我们未来持续稳定发展的重要保证。
认证流程
什么是ISO?
ISO是世界上最大的国际标准化组织(International Organization for Standardization)的简称。它成立于1947年2月23日,它的前身是1928年成立的“国际标准化协会国际联合会”(简称ISA)。ISO的成员由来自世界上100多个国家的国家标准化团体组成,代表中国参加ISO的国家机构是中国国家技术监督局(CSBTS)。
ISO标准非常全面,它规范了企业内的所有过程,牵涉到企业内从最高管理层到最基层的全体员工,能够为人们制订国际标准达成一致意见提供一种机制。想要了解更多内容,大家可以进入ISO官网查看。
https://www.iso.org/
ISO/IEC 27001:2013标准版本
ISO/IEC 27001:2013信息安全管理体系的全称是Information Security Management Systems,简称“ISMS”,是一个正式规范信息安全管理体系 (ISMS) 的安全标准,旨在通过明确的管理控制实现信息安全。该标准由 ISO/IEC 联合小组委员会发布,概述了数百个控制措施和控制机制,以帮助所有类型和规模的组织确保信息资产安全。这些全球标准针对政策与流程提供了一个框架,其中包括所有与组织信息风险管理流程相关的法律、物理和技术控制措施。作为正式规范,它规定了定义如何实施、监控、维护及不断改进 ISMS 的各项要求。此外,其中还规定了一系列最佳实践,包括文档编制要求、责任划分、可用性、访问控制、安全性、审核,以及纠正和预防措施。通过 ISO / IEC 27001 认证,有助于组织遵守与信息安全有关的各种法规及法律要求。
现如今信息安全问题日益突出。系统瘫痪、黑客入侵、病毒感染、客户资料的流失及公司内部数据的泄露等等,这些安全问题影响着企业的管理甚至危害企业生存。信息安全管理体系(ISMS)一旦建立, 就表示公司信息安全管理已建立了一套科学有效的管理体系作为保障。企业将以此为起点持续改进和深化体系的执行,在公司软件资产受控的前提下持续为客户提供安全可靠的软件产品和服务。
ISO27001:2013结构章节
1. 此标准范围
2. 如何参考此文件
3. 重新使用ISO/IEC 27000中的词语及定义
4. 组织环境及利益相关者
5. 信息安全领导及高层的政策支持
6. 信息安全管理系统的计划:风险评估,风险处置
7. 信息安全管理系统的相关支持
8. 如何让信息安全管理系统可以正常运作
9. 审核系统的性能
10. 矫正措施
ISO27001:2013风险控制方式
ISO/IEC 27001的6.1.3有描述组织如何用风险处置项目来因应风险,其中很重要的一部分是选择适当的风险控制方式。
A.5:信息安全政策(2个控制方式)
A.6:信息安全组织(7个控制方式)
A.7:人力资源安全:在雇用前、中后共有6个控制方式
A.8:资产管理(10个控制方式)
A.9:访问控管(14个控制方式)
A.10:加密(2个控制方式)
A.11:物理性及环境的安全(15个控制方式)
A.12:运作安全(14个控制方式)
A.13:通信安全(7个控制方式)
A.14:系统购置,开发和维护(13个控制方式)
A.15:供应商关系(5个控制方式)
A.16:信息安全事件管理(7个控制方式)
A.17:业务连续性计划的信息安全层面(4个控制方式)
A.18:合规,有关内部(例如政策)要求及外部(例如法令)要求(8个控制方式)
ISO/IEC 20000-1:2018标准版本
ISO/IEC 20000-1:2018 是针对信息技术服务管理(IT Service Management)领域的最新国际标准,定义了 IT 服务管理系统的开发、实施、监控、维护和改进的要求。主要是为了给企业提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系的模型。
企业建立IT服务管理体系的目标是为了企业建立起一套行之有效的以客户为中心的自我完善的体系。在实施认证ISO20000管理体系后,在各个流程中,各个工作岗位上都建立了一个自我完善的循环,工作的策划、执行、检查,以及持续的发现问题改善问题的体系建立起来,使每个员工都拥有问题意识,自觉的发现自己工作当中的问题,并通过系统的解决问题的方法,将问题一个一个的解决。获取 ISO 20000 的认证,意味着提供服务的IT组织,必须证明它能够对标准中涉及的所有过程都具有足够好的管理控制力以及服务水平。
ISO Annex SL 9大章节
Annex SL描述了一个通用的管理系统的架构。在架构增加各管理特定的要求,即将成为满足各管理系统标准。
范围(Scope)
引用标准(Normative references)
用语与定义(Terms and Definitions)
服务管理系统一般要求(Service management system general requirements)
新增或变更服务之规划与实作(Design and transition of new or changed services)
服务交付流程(Service delivery processes)
关系流程(Relationship process)
解决流程(Resolution Processes)
控制流程(Control Processes)
ISO/IEC 20000:2018与之前2011版之间的区别
1. 根据其他管理体系标准引入了新的高级文档结构,使组织更容易遵守多项标准,例如 ISO 9001(质量管理)或 ISO 27001(信息安全管理)。
2. 术语和定义已被修订,以包括特定于管理体系标准的术语。对 ISO/IEC 20000-10 中给出的术语和定义添加了参考。
3. 已修订或添加条款以考虑服务管理的增长趋势,例如商品化服务和服务集成商对多个服务提供商的管理。
4. 一些细节已被删除,以允许组织在满足要求时具有更大的灵活性。
5. 引入了“建立、实施、维护和持续改进服务管理系统(SMS)”的明确要求。
6. 对“PDCA”(“Plan-Do-Check-Act”)方法的引用已被删除,因为许多改进方法可以与管理体系标准一起使用。
7. 增加了对组织环境和应对风险和机遇的行动的新要求。
8. 对文件化信息、资源、能力和意识的要求已经更新。
9. 增加了对服务规划、知识、资产管理、需求管理和服务交付的要求。
10. 事件管理和服务请求管理的要求已分为两组要求。
未来Sinokap将再接再厉,一如既往地强化品质管理、坚持安全管理、紧跟客户需求,为客户持续提供更优质的IT服务!
END
往期回顾
BREAK AWAY
柠萌影视IT
安全意识培训
Win11新版必应
集成到任务栏
摩根大通限制
使用ChatGPT
谨防域名诈骗
切勿轻易付款
Wi-Fi图标变
小地球怎么办
Chrome浏览器
2月技巧更新
谷歌AI机器人
Bard出师不利
网络攻击导致
公司股价大跌
一分钟了解
ChatGPT
AI自动生成
会议纪要
微软Teams
新功能更新
微软护航医疗
健康行业创新
Sinokap公众号每日放送IT小技巧,让你的工作、学习、甚至是日常生活更加高效、便捷。
Sinokap China IT Service Team daily broadcasts Professional IT Support Tips and Tricks. We are engaged to bring you a variety of IT skills that can be widely used in your business work, study and daily life.
关注我们
Follow us
如果你想了解更多IT资讯和小诀窍~
If you would like to learn more IT related news and IT Trick Tips.
加入我们
Join us
如果你想变得更强,成为一名专业的工程师~
If you want to improve self-ability and grow into a skillful engineer.
联系我们
Contact us
如果你需要专业的IT服务支持需求~
If you need Professional IT Support and IT Services in Shanghai, China.
点击进入公众号,长期关注不迷路!