近日,國家權威第三方認證機構中國船級社按照ISO/IEC27001:2013版標準對中國遠洋海運集團有限公司進行了信息安全管理體系認證審核,并正式頒發證書,這標志著集團總部信息安全管理已建立了一套科學有效的管理體系,實現了對信息安全的全面、科學、系統管理。
ISO/IEC 27001作為國際標準化組織(ISO)關于信息安全管理方面最著名的國際標準,是目前國際上最權威也是被廣泛接受的信息安全標準,被很多國內外大型企業所采用。標準以風險管控為核心,以PDCA過程方法論為依托,要求企業必須構建高標準、文檔化以及可不斷完善的信息安全體系,可有效保護信息資源,保護信息化進程健康、有序、可持續發展。
近年來,國家對信息安全重視程度與日俱增,同時信息系統與集團生產經營管理結合越來越緊密,信息安全已成為集團安全工作的重要組成部分。新集團成立后,總部為明確信息安全管理職責和分工,規范信息安全管理要求和流程,切實降低信息安全風險,于2016年5月啟動了信息安全管理體系建設。
體系按照ISO/IEC27001標準要求,結合集團多年信息安全工作成果和經驗,將信息安全的核心要義總結為保護信息本身和信息載體的安全,將抽象概念轉變為具體可管控對象,歷經資產識別、體系頒布、風險評估、終端檢查、宣貫培訓、內部評審、管理評審、外部審核八個階段的實施,覆蓋了集團總部所有職能部室、共享中心、特設機構及員工。體系建立后,經過3個月的試運行和完善,于12月順利通過中國船級社的外部認證審核。
體系一是在組織層面建立了自上而下的信息安全管理組織,有力的保障了信息安全各項工作的開展;二是在制度層面制定了集團四層體系管理文件,規范了信息安全管理工作要求和流程;三是在技術層面配套各項技術措施,不斷提升集團安全運行水平及系統風險處置能力。
目前,集團總部全面實施信息安全管理體系并通過外審認證的央企屈指可數。認證證書的獲得,不僅是我集團在信息安全管理體系建設方面取得的可喜成績,也是多年來高度重視信息資產保密性、完整性和可用性的必然成果。
關于ISO/IEC 27001:2013
ISO/IEC27001是ISO/IEC 27000系列的核心標準之一,前身為英國的BS7799標準,分為兩個部分,第一部分對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實施安全控制的要求。被國際標準化組織(ISO)認可為國際標準后,經歷多次改版,目前最新版為ISO/IEC 27001:2013版。
來源:中國遠洋海運報
