网络数据处理安全要求标准在数据安全认证领域的应用

GB/T 41479—2022《信息安全技术网络数据处理安全要求》的应用是《中华人民共和国数据安全法》落地实施的有效支撑,但作为一项新的标准其理解应用存在一定的困难。通过对标准应用的场景、过程、方法和成效进行介绍,展示了通过数据安全管理认证制度,成功地推动该标准应用的过程,并在企业内形成了数据安全建设、运行、自评价、三方评价、持续改进的良性循环,既为企业在该标准应用方面提供范例,也为其他标准的有效应用提供参考。

重新梳理“数据安全”的概念

在定义数据、信息和情报的基础上,梳理数据安全的定义,并分析数据技术(DT)时代与信息技术(IT)时代的异同。

信息安全管理体系标准化概述

信息安全管理体系简称（ISMS），ISMS认证所依据的ISO／IEC27001：2005现在已等同转化为国家标准。本文将介绍ISMS标准的发展历程、标准族的框架结构以及在我国各行业的实施情况。

信息安全管理体系控制措施有效性测量概述

组织实施和运行信息安全管理体系需要投入一定的人力、物力和财力,一般情况下,控制措施的资源投入占了其中大部分,控制措施是否有效就决定了资源投入的效率和信息安全管理体系的有效性,组织的管理层通常都比较关心这些方面。

业务连续性管理需求的识别

目前,组织在业务连续性管理过程中,主要精力放在了灾备和应急预案的建设上,而对于需求的识别却往往做得比较粗浅,影响了业务连续性管理的有效性,本文从业务影响分析和风险评估出发,简单描述如何进行需求识别。

从方法论的角度谈ISO 27001审核

本文将从方法论的视角对ISO27001审核应关注的内容进行探讨。一、ISO27001标准简介该标准分为三个部分，分别为引言、正文和附录。

ISO 27001:2005控制措施易误解的几个方面

信息安全管理体系已得到了国内很多组织的认可,相应的标准ISO27001:2005中提供的133条控制措施也为组织的信息安全管理提供了非常好的指导。但部分组织在实施和运行这些控制措施时会有不同困扰,大部分与组织对控制措施的理解有很大关系。

信息安全控制措施整体有效性评价

在将组织的正常运作和最小的额外资源需求相结合总原则下,在组织的持续测量活动中,信息安全管理过程中控制措施的范畴,对控制措施进行有效性测量的理由,以及实践过程中有效性测量的实现过程。

2011版ISO/IEC20000-1与2018版的差异分析与换版重点

ISO/IEC 20000-1在2018年底发布了新的版本,新版本依据管理体系高层结构,也就是ISO/IEC导则的一部分综合ISO补充附录SL,对标准进行了结构和内容的调整,在此基础上标准组根据当前服务管理发展情况对标准的结构和内容进行了进一步的优化。

《数据安全法》对管理体系和服务认证的影响分析

《数据安全法》在内容上对重要数据处理者、关键信息基础设施的运营者和普通的数据处理者甚至个人都提出了具体的要求,除个人外,其他数据处理者都可能成为管理体系和服务认证的对象,特别是对于信息安全管理体系认证、公有云信息安全管理体系、隐私信息管理体系认证、共有云隐私信息管理体系认证、信息技术服务管理体系以及信息安全服务认证都会产生影响。在开展审核的过程中需关注《傲据安全法》相关内容,以及受审核方是否识别并了解对《数据安全法》的合规管理情况。本文介绍需关注的条款、关注点和审核指南。

基于“联网+”的管理体系认证模式探索

在“互联网+”时代,管理体系的实现模式发生了很大的变化,信息技术已成为组织建立管理体系的重要支撑,传统的认证模式,特别是审核证据取证活动已无法满足认证的本质要求。本文在基于“互联网+”时代的管理体系特性的研究基础上,提出增加“组织自评价”和“技术验证”两种方式作为管理体系认证模式的组成部分,以形成一套适用于“互联网+”时代的管理体系认证机制。

信息技术服务管理体系在服务外包行业的应用

随着信息技术的发展，专业化程度越来越高，很多企业和政府单位都选择了将信息技术的相关服务外包给专业化的公司来完成，从而降低成本、提高效率。然而，由于服务的需求方在信息技术方面的能力相对薄弱，往往无法准确判断服务提供方提供的服务是否真正满足要求，尤其是在性能和安全性方面。如果有一种方式可以证明服务提供方的能力和过程可以满足要求。服务需求方自然可以省心省力。

从管理体系一体化到一体化管理体系

随着各个领域管理体系的广泛建立和应用,很多组织的管理正在被分割成多个模块,既相互重叠交叉又各自独立运行,给很多组织的管理带来了负担,也导致管理体系建设难以落地运行。本文从管理体系整合的基础出发,阐述了组织如何进行管理体系整合从而实现组织的一体化管理。

信息安全管理体系建设运行的正确方式

信息安全管理体系（ISMS）在国内经过十多年的应用逐渐走向成熟，在这个过程中，有很多组织在对其不断完善强大，也有很多组织逐渐将其边缘化。同时，那些坚持下来的组织，也有些对ISMS体系的运行逐渐流于形式，仅将其作为商业竞争的筹码。这是一个值得思考的问题，这一问题的妥善解决，将有助于真正提高组织的信息安全管理水平。

铁路通信网质量评价系统的研究及应用

铁路通信系统是铁路部门开展运输指挥、运营管理的重要基础设施。铁路通信网是铁路通信系统的重要组成部分,基础承载平台作用日益突出。为提高铁路通信网质量,实现通信质量的智能化、自动化、主动化预警评价,首先,分析了目前铁路通信网的运营、维护现状,识别质量关键因素;其次,阐述了通过建立通信质量模型建立通信质量评价系统的思路;最后,应用通信质量评价系统,对铁路通信网设备质量、工作质量、系统质量进行描述,增强模型完备性。建立的铁路通信网质量评价系统将铁路通信质量以百分数的形式来呈现,便于指导铁路通信段、车间、工区的工作。将分数以雷达图、折线图等可视化形式表现出来,能够更好地提升质量管理水平,开展网络优化和管理强化工作,使铁路通信运维管理工作向精细化、智能化管理方向进步。

如何运用远程审核开展认证活动

特殊时期,是否可以用远程方式执行一次完整的认证审核?回答是肯定的。IAF(国际认可论坛)在关于COVID-19的声明中提到远程评审的使用,且关于远程评审原则的资料性文件IAFID12:2015《远程评审原则》可在疫情时期使用。就此,中国网络安全审查技术与认证中心全面探索使用远程审核来替代现场审核。