當內(nèi)部網(wǎng)絡(luò)與囚特網(wǎng)連接后，就陸續(xù)出現(xiàn)了很多的網(wǎng)絡(luò)問題，在沒有解決網(wǎng)絡(luò)安個問題之前，一般來說最簡單的作法是先將網(wǎng)路完全斷開，使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)不能直接進行網(wǎng)絡(luò)聯(lián)機，以防止網(wǎng)絡(luò)的入侵攻擊。因此對網(wǎng)絡(luò)隔離的普遍認知，是指在兩個網(wǎng)絡(luò)之間，實體線路互不連通，互相斷開。但是沒有網(wǎng)絡(luò)聯(lián)機就沒有隔離的必要，因此網(wǎng)絡(luò)隔離的技術(shù)是在需要交換及資源共享的情況下出現(xiàn)。不需要數(shù)據(jù)交換的網(wǎng)絡(luò)隔離容易實現(xiàn)，只要將網(wǎng)絡(luò)完全斷開，互不聯(lián)機即可達成。但在需要數(shù)據(jù)交換的網(wǎng)絡(luò)隔離卻不容易實現(xiàn)。在本研究所探討的網(wǎng)絡(luò)隔離技術(shù)，是指需要數(shù)據(jù)交換的網(wǎng)絡(luò)限離技術(shù)。

　　事實上在大多數(shù)的政府機關(guān)或企業(yè)的內(nèi)部網(wǎng)絡(luò)，仍然需要與外部網(wǎng)絡(luò)(或是因特網(wǎng))進行交換。實施網(wǎng)絡(luò)斷開的實體隔離，雖然切斷兩個網(wǎng)絡(luò)之間的直接數(shù)據(jù)交換，但是在單機最安全的情況下，也可能存亦著復制數(shù)據(jù)時遭受病毒感染與破壞的風險。

　　二、網(wǎng)絡(luò)安全管理

　　(一)網(wǎng)絡(luò)控制措施

　　在控件中，說明應采用的控制措施，對于網(wǎng)絡(luò)應該要適當?shù)募右怨芾砼c控制，使其不會受到安全的威脅，并且維護網(wǎng)絡(luò)上所使用的系統(tǒng)一與應用程序的安全(包括傳愉中的資訊)。

　　建議組織應采用適當?shù)淖鞣?，以維護網(wǎng)絡(luò)聯(lián)機安全。網(wǎng)絡(luò)管理者應該建立計算機網(wǎng)絡(luò)系統(tǒng)的安全控管機制，以確保網(wǎng)絡(luò)傳輸數(shù)據(jù)的安個，保護網(wǎng)絡(luò)連線作業(yè)，防止未經(jīng)授權(quán)的系統(tǒng)存取。特別需列入考慮的項目如下：

　　1、盡可能將網(wǎng)絡(luò)和計算機作業(yè)的權(quán)責區(qū)隔，以降低組織設(shè)備遭未經(jīng)授權(quán)的修改或誤用之機會;2、建立遠程設(shè)備(包括使用者區(qū)域的設(shè)備)的管理責仟和程序，例如管制遠程登入設(shè)備，以避免未經(jīng)授權(quán)的使用;3、建立安個的加密機制控制措施，保護透過公眾網(wǎng)絡(luò)或無線網(wǎng)絡(luò)所傳送數(shù)據(jù)的機密性與完整性，并保護聯(lián)機的系統(tǒng)與應用程序，以維持網(wǎng)絡(luò)服務(wù)和所聯(lián)機計算機的正常運作;4、實施適當?shù)匿浵翊驿浥c監(jiān)視，以取得相關(guān)事件紀錄;5、密切協(xié)調(diào)計算機及網(wǎng)絡(luò)管理作業(yè)，以確保網(wǎng)絡(luò)安全措施可在跨部門的基礎(chǔ)架構(gòu)上運作。

　　(二)網(wǎng)絡(luò)服務(wù)的安全

　　1、組織應賦予管理者稍核的權(quán)力，透過定期的稽核，監(jiān)督管理負責網(wǎng)絡(luò)服務(wù)的J商;2、組織應確認負責網(wǎng)絡(luò)服務(wù)的廠商，有實作特殊的服務(wù)所必需的安全招施，例如該項服務(wù)的安全特性、服務(wù)的安全等級和管理方法。歸納“網(wǎng)絡(luò)控制措施”及“網(wǎng)絡(luò)服務(wù)的安全”的控制措施，建議紅l織在網(wǎng)絡(luò)安全的控管措施，主要以采川防火墻、入侵偵測系統(tǒng)等撲制措施，及運用網(wǎng)絡(luò)服務(wù)安全性的技術(shù)，例如認證、加密及網(wǎng)絡(luò)聯(lián)機控制技術(shù)等，以建立安全的網(wǎng)絡(luò)環(huán)境與網(wǎng)絡(luò)聯(lián)機的安全。

　　三、網(wǎng)絡(luò)隔離技術(shù)與應配合之控制措施

　　(一)采用完全實體隔離的管理措施

　　1、安全區(qū)域作業(yè)程序。組織需根據(jù)存取政策訂定安全區(qū)域的標準作業(yè)程序，以便相關(guān)人員能夠據(jù)以確實執(zhí)行，避免人為疏忽造成數(shù)據(jù)泄漏。標準作業(yè)程序應制作成文件讓需要的所有使用者都可以取得。對于每一位使用者，都需要清楚的定義存取政策，這個政策必須依照組織的要求，設(shè)定允許存取的權(quán)限，一般的原則為僅提供使用者必要的權(quán)限，盡可能減少不必要的權(quán)限。并應區(qū)分職務(wù)與責任的范圍，以降低遭受未經(jīng)授權(quán)或故意的進入安全區(qū)域之機會;2、資料存取稽核。數(shù)據(jù)存取的記錄，包括成功及不成功之登入系統(tǒng)之紀錄、存取資料之紀錄及使用的系統(tǒng)紀錄等。在完全實體隔離的作業(yè)下相關(guān)的稽核記錄，需要實施人工的稽核作業(yè)，特別是登入錯誤時的紀錄，需要逐筆的梢核作業(yè)。并不定期稽核數(shù)據(jù)存取作業(yè)是否符合組織的存取政策與標準作業(yè)程序，并且需要特別稽核下列事項：(1)對于被授權(quán)的特權(quán)使用者，其存取紀錄應定期稽核：(2)對于特權(quán)存取事件，應檢查是否被冒用的情形發(fā)生。

　　(二)網(wǎng)絡(luò)存取控制措施

　　在實體隔離的政策要求卜，將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離為兩個互不相連的網(wǎng)絡(luò)，數(shù)據(jù)交換時透過數(shù)據(jù)交換人員定時，或是不定時根據(jù)使用者的申請，至數(shù)據(jù)交換作業(yè)區(qū)域之專屬設(shè)備，以人_「執(zhí)行數(shù)據(jù)交換作業(yè)。因為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間采用網(wǎng)絡(luò)線路的實體隔離作業(yè)，主要的網(wǎng)絡(luò)存取控制措施則著重在作業(yè)區(qū)域的管理控制措施。

　　為確保數(shù)據(jù)交換作業(yè)區(qū)域的數(shù)據(jù)存取安全，除將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離為兩個互不相連的網(wǎng)絡(luò)外，對數(shù)據(jù)交換作業(yè)區(qū)域的專屬設(shè)備，需實施不同于外部網(wǎng)絡(luò)及內(nèi)部網(wǎng)絡(luò)的存取安全政策，確保網(wǎng)絡(luò)安全環(huán)境，以降低可能的安個風險。例如：內(nèi)部網(wǎng)絡(luò)處理機敏性數(shù)據(jù)、外部網(wǎng)絡(luò)處理一般辦公環(huán)境數(shù)據(jù)及數(shù)據(jù)交換作業(yè)區(qū)域的安個環(huán)境。機敏性數(shù)據(jù)建置于內(nèi)部網(wǎng)絡(luò)的專屬數(shù)據(jù)庫或檔案區(qū)內(nèi)，機敏性信息系統(tǒng)亦僅限于內(nèi)部網(wǎng)絡(luò)運用，員工必須在內(nèi)部網(wǎng)絡(luò)的計算機進行信息處理作業(yè)。另為防止機敏性數(shù)據(jù)的外泄，在內(nèi)部網(wǎng)絡(luò)的終端訓算機需要禁止使用下列設(shè)備，包含磁盤片、光盤片、隨身碟或行動碟等可攜式儲存媒體。

　　為防止因特網(wǎng)的直接存取數(shù)據(jù)交換作業(yè)區(qū)域的專屬計算機，應依照組織的存取政策，采用邏輯階離技術(shù)，將不同等級的作業(yè)分隔在不同的網(wǎng)段，例如：將數(shù)據(jù)交換作業(yè)與一般信息作業(yè)的網(wǎng)段區(qū)隔，藉由適當?shù)姆獍^濾機制，防止未經(jīng)授權(quán)的網(wǎng)絡(luò)流量互相流通，同時可管制數(shù)據(jù)的存取，避免數(shù)據(jù)被誤用之機會。而且需要建置入侵偵測系統(tǒng)，偵測組織內(nèi)網(wǎng)絡(luò)封包的進出，以便提早發(fā)現(xiàn)可能的入侵行為。

The post 從信息安全管理角度探討網(wǎng)絡(luò)隔離技術(shù) first appeared on ISO27001信息安全咨詢公司.

　　我國已經(jīng)形成的信息安全管理標準主要包括GB/T 22080—2008(技術(shù)安全技術(shù)信息安全管理體系要求》和GB/T 22081—2008(信息技術(shù)安全技術(shù)安全管理實用規(guī)則》。

　　隨著我國信息安全工作的發(fā)展，公安部制定了一系列標準，進行信息系統(tǒng)分等級保護，將信息系統(tǒng)劃分為五個安全等級，安全要求從第一級到第五級逐級遞增。主要標準包括《計算機信息系統(tǒng)安全等級保護劃分準則》、《信息安全技術(shù)信息系統(tǒng)安全保護等級定級指南》、《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》等。其等級保護制度的推行，是為了進一步落實《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)的要求“要重點保護基礎(chǔ)信息和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術(shù)指南”。因此推行等級保護制度，與建立信息安全管理體系之間有著緊密的關(guān)聯(lián)。

　　1、信息安全管理體系

　　1.1信息安全管理體系的結(jié)構(gòu)

　　信息安全管理體系，即Information security management system(ISMS)，是由信息安全最佳慣例組成的實施規(guī)則，主要內(nèi)容包括11個安全類別，39個控制目標，133項控制措施。信息安全管理體系中提倡對信息系統(tǒng)進行風險評估，其最終目的是通過風險控制，達到信息安全管理的目的。信息安全管理體系的安全類別包括以下幾個方面。

　　(1)安全方針

　　確定信息安全管理的方針、目標。

　　(2)信息安全組織

　　對組織內(nèi)部和外部各方的信息安全進行管理。

　　(3)資產(chǎn)管理

　　對組織的所有信息資產(chǎn)進行分類，并實施有效管理。

　　(4)人力資源安全

　　對員工的所有可能影響信息安全的行為和過程列入信息安全管理范圍。

　　(5)物理和環(huán)境安全

　　對組織的辦公環(huán)境、設(shè)備所處環(huán)境等的安全管理。

　　(6)通信和操作管理

　　對所有涉及到通信和操作的所有內(nèi)容加以控制。

　　(7)訪問控制

　　對信息、信息系統(tǒng)、網(wǎng)絡(luò)服務(wù)等方面的訪問進行控制。

　　(8)信息系統(tǒng)獲取、開發(fā)和維護

　　對信息系統(tǒng)的設(shè)計、開發(fā)、驗收、維護等方面進行管理。

　　(9)信息安全事件管理

　　對信息安全事件的劃分、發(fā)現(xiàn)、報告、處理程序進行規(guī)范。

　　(10)業(yè)務(wù)連續(xù)性

　　為防止業(yè)務(wù)中斷，保護關(guān)鍵業(yè)務(wù)過程而進行的管理。

　　(11)符合性

　　保證符合法律、法規(guī)要求及符合組織安全策略的管理。

　　信息安全管理體系中針對所有管理范圍都提出了管理要求。其管理體系雖然是針對“管理”建立的，但是其中亦涵蓋了所有針對技術(shù)方面所應實施的內(nèi)容。

　　1.2信息安全管理體系的特點

　　信息安全管理體系ISMS具有如下特點：(1)基于一個組織;(2)目標是體系化建設(shè);(3)立足于風險管理思想;(4)貫穿了“規(guī)劃-實施-檢查-處置”(PDCA)持續(xù)改進的過程和活動;(5)根據(jù)組織自身的任務(wù)和應對安全風險需求來選擇安全控制措施;(6)通過安全控制的測度和審核來檢查信息安全技術(shù)和管理運用的合規(guī)性。

　　2、等級保護中的安全管理

　　2.1安全管理基本要求

　　等級保護制度是根據(jù)國家等級保護管理規(guī)定，等級保護包含技術(shù)和管理兩個方面。其中安全管理要求分為五個方面：安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理。這五個方面貫穿了信息系統(tǒng)的全生命周期。其具體要求內(nèi)容隨著安全級別越高，要求的強度越高。

　　(1)安全管理制度

　　從建立安全管理制度的角度，要求對日常管理形成管理制度，并進行適當?shù)木S護。

　　(2)安全管理機構(gòu)

　　要求建立具有明確職責的信息安全管理機構(gòu)，并做好具體分工。

　　(3)人員安全管理

　　對人員的錄用、離崗、考核、教育及外部人員的安全進行規(guī)范。

　　(4)系統(tǒng)建設(shè)管理

　　從系統(tǒng)生命周期角度，對系統(tǒng)的設(shè)計、采購、實施等角度對信息系統(tǒng)進行安全管理。

　　(5)系統(tǒng)運維管理

　　在系統(tǒng)運維過程中，對系統(tǒng)運行過程中的全部安全問題進行管理。

　　2.2等級保護基本要求

　　等級保護的基本要求分為技術(shù)和管理兩個方面，在實際的技術(shù)要求中，亦涉及到了管理的內(nèi)容，比如在物理安全層面中對機房的管理、主機安全等層面中對安全審計的要求等，因此，等級保護中的管理與技術(shù)兩大類是密不可分的，其具有相互關(guān)聯(lián)性，能夠在某些方面互相彌補。是一個統(tǒng)一的整體。

　　3、信息安全管理體系與等級保護管理要求的關(guān)系

　　信息安全管理的目標是保證信息系統(tǒng)資產(chǎn)的安全，不論是何種管理制度，其保護的對象都是信息和信息系統(tǒng)。因此，信息安全管理體系與等級保護的管理其最終目的都是一樣的，但是等級保護要求中將管理要求與技術(shù)要求進行了區(qū)分，因此信息安全管理體系中所包含的管理內(nèi)容更加全面。本文就具體內(nèi)容進行分析。

　　信息安全管理體系中，信息安全方針的管理與等保管理要求中的“安全管理制度：管理制度”的要求相同。

　　在信息安全組織類中，信息安全管理的承諾對應“安全管理機構(gòu)：崗位設(shè)置”、“安全管理制度：制定和發(fā)布”;信息安全協(xié)調(diào)對應“安全管理機構(gòu)：溝通和合作”;信息安全職責的分配對應“安全管理機構(gòu)：崗位設(shè)置”;信息處理設(shè)施的授權(quán)過程對應“系統(tǒng)建設(shè)管理：產(chǎn)品采賄私使用”，保密性協(xié)議對應“人員安全管理：人員錄用”，與政府部門的聯(lián)系對應“安全管理機構(gòu)：溝通和合作”，與特定利益集團的聯(lián)系對應“安全管理機構(gòu)：溝通和合作”，信息安全的獨立評審對應“安全管理制度：制定和發(fā)布”，與外部各方相關(guān)風險的識別、處理與顧客有關(guān)的安全問題對應“人員安全管理：外部人員訪問管理”，處理第三方協(xié)議中的安全問題對應“系統(tǒng)建設(shè)管理：安全服務(wù)商選擇”。

　　在資產(chǎn)管理安全類中，資產(chǎn)清單、資產(chǎn)責任人、資產(chǎn)的合格使用、信息分類指南、信息的標記和處理對應“系統(tǒng)運維管理：資產(chǎn)管理”。

　　人力資源安全類中，任用前的角色和職責對應“安全管理機構(gòu)：人員配置”、“安全管理機構(gòu)：崗位設(shè)置”，任用前的審查、任用條款和條件、人員任用中的管理職責對應“人員安全：人員錄用”，信息安全意識、教育和培訓對應“人員安全管理：安全意識教育和培訓”，紀律處理過程對應“人員安全管理：人員考核”，任用終止職責、資產(chǎn)的歸還、撤銷訪問權(quán)對應“人員安全管理：人員離崗”。

　　物理安全管理類中，大部分內(nèi)容對應等級保護要求中的“物理安全”層面，其中物理安全邊界、物理人口控制、辦公室、房間和設(shè)施的安全保護、在安全區(qū)域工作、支持性設(shè)施、資產(chǎn)的移動對應“系統(tǒng)運維管理：環(huán)境管理”，設(shè)備維護、組織場所外的設(shè)備安全對應“系統(tǒng)運維管理：設(shè)備管理”，設(shè)備的安全處置和再利用對應“系統(tǒng)運維管理：介質(zhì)管理”。

　　在通信和操作管理安全類中，文件化的操作程序?qū)鞍踩芾碇贫龋汗芾碇贫取敝腥粘２僮饕?guī)程的要求，變更管理對應“系統(tǒng)運維管理：變更管理”，系統(tǒng)操作的責任分割對應“安全管理機構(gòu)：人員配置”，開發(fā)、測試和運行設(shè)施分離對應“系統(tǒng)建設(shè)管理：自行軟件開發(fā)”，第三方服務(wù)交付對應“系統(tǒng)建設(shè)管理：系統(tǒng)交付”，第三方服務(wù)的監(jiān)視和評審對應“系統(tǒng)建設(shè)管理：工程實施”中關(guān)于實施過程管理、建立等方面的要求，第三方服務(wù)的變更管理對應“系統(tǒng)運維管理：變更管理”中關(guān)于系統(tǒng)變更的控制，系統(tǒng)容量管理對應“系統(tǒng)運維管理：系統(tǒng)安全管理”中關(guān)于系統(tǒng)容量的要求，系統(tǒng)驗收對應“系統(tǒng)建設(shè)管理：測試驗收”和“系統(tǒng)建設(shè)管理：系統(tǒng)交付”，控制惡意代碼、控制移動代碼對應“系統(tǒng)運維管理：惡意代碼防范”，信息備份對應“系統(tǒng)運維管理：備份與恢復管理”，網(wǎng)絡(luò)控制對應“系統(tǒng)運維管理：網(wǎng)絡(luò)安全管理”，網(wǎng)絡(luò)服務(wù)安全對應的是等級保護技術(shù)要求中的網(wǎng)絡(luò)安全層面，可移動介質(zhì)的管理、介質(zhì)的處置對應“系統(tǒng)運維管理：介質(zhì)管理”，系統(tǒng)文件安全對應“系統(tǒng)運維管理：系統(tǒng)安全管理”，審計日志對應“系統(tǒng)運維管理：系統(tǒng)安全管理”，監(jiān)視系統(tǒng)的使用對應“系統(tǒng)運維管理：監(jiān)控管理和安全管理中心”，另外一些如日志信息的保護、管理員和操作員日志、故障日志、時鐘同步、電子消息發(fā)送、業(yè)務(wù)信息系統(tǒng)、電子商務(wù)、在線交易等對應到等級保護要求中的“主機安全”、“應用安全”、“安全”等多個瑟面。

　　在訪問控制安全類里面，大部分都對應著等級保護要求的“主機安全”、“應用安全”、“網(wǎng)絡(luò)安全”中的“訪問控制”控制點，另外，訪問控制策略對應“系統(tǒng)運維管理：系統(tǒng)安全管理”，網(wǎng)絡(luò)連接控制對應“系統(tǒng)運維管理：網(wǎng)絡(luò)安全管理”。

　　系統(tǒng)安全要求分析和說明對應“系統(tǒng)建設(shè)管理：安全方案設(shè)計”，密鑰管理對應“系統(tǒng)運維管理：密碼管理”，變更控制程序、操作系統(tǒng)變更后應用的技術(shù)評審對應“系統(tǒng)運維管理：變更管理”，外包軟件開發(fā)對應“系統(tǒng)建設(shè)管理：外包軟件開發(fā)”，技術(shù)脆弱性的控制對應“系統(tǒng)運維管理：網(wǎng)絡(luò)安全管理”和“系統(tǒng)運維管理：系統(tǒng)安全管理”中關(guān)于系統(tǒng)漏洞及補丁的要求。

　　在信息安全事件管理的安全類里面，報告信息安全事態(tài)、報告安全弱點、職責和程序、對信息安全事件的總結(jié)、證據(jù)的收集都對應著“系統(tǒng)運維管理：安全事件處置”。

　　在業(yè)務(wù)連續(xù)性管理安全類中，主要對應等級保護要求中的“系統(tǒng)運維管理：應急預案管理”，但是業(yè)務(wù)連續(xù)性管理中提到了要進行風險評估，并根據(jù)評估結(jié)果開發(fā)連續(xù)性計射，這與等級保護政策中開展等級測評，并根據(jù)測評結(jié)果進行信息系統(tǒng)改建的要求是相一致的。

　　在符合性要求類中，主要涉及等級保護要求中的“安全管理機構(gòu)：審核和檢查”及一些技術(shù)要求。

　　4、結(jié)束語

　　信息安全管理體系的建立是為了保障組織的信息和信息系統(tǒng)的安全，與等級保護的最終目標是一致的，雖然信息安全管理體系的名為管理，實際上涵蓋了所有對技術(shù)實施方面的要求，是一個綜合的管理體系。等級保護基本要求中的管理要求是按照組織實施管理過程的五個基本方面來進行約束的，對組織的信息安全、提供服務(wù)迸行保障。兩者之間既有區(qū)別又有聯(lián)系，但是其最終目的都是為了保障組織的信息安全。

The post ISO27001信息安全管理體系與等級保護管理要求 first appeared on ISO27001信息安全咨詢公司.

　　安永大中華區(qū)科技風險與審計咨詢服務(wù)合伙人阮祺康表示，“實施信息安全轉(zhuǎn)型旨在縮小脆弱性現(xiàn)狀和安全性目標之間日趨擴大的差距，這不依靠復雜的技術(shù)解決方案，而是需要領(lǐng)導力、承諾、能力和行動的勇氣，不是在一兩年之后而是當下。”

　　調(diào)查報告顯示，企業(yè)在信息安全所面臨的挑戰(zhàn)不可小覷，主要的挑戰(zhàn)如下：

　　u 外部威脅有增無減，令企業(yè)深感擔憂: 77%受訪者表示其所在企業(yè)面臨的外部威脅正不斷增加。

　　u 安全防范措施未能同步追隨云計算快速應用的步伐:從2010年至2012年，云計算的應用增長已翻倍 ，但仍有38%的受訪者表示所在企業(yè)沒有采取任何措施，緩解云計算所帶來的安全風險。

　　u 移動應用大幅增長，但安全防護技術(shù)部署明顯滯后: 44%的受訪企業(yè)允許員工在工作中使用企業(yè)或者個人的平板電腦，但其中只有40%的企業(yè)對移動設(shè)備采用了加密技術(shù)。

　　u 社交媒介廣泛普及，成為企業(yè)安全隱患：31%的受訪者表示其企業(yè)并未采取相應的機制來處理社交媒介的安全風險。

　　u 安全預算和能力匱乏，差距持續(xù)擴大：62%的受訪問企業(yè)表示預算受限，是信息安全工作的主要障礙之一。此外，44%的企業(yè)表示，安全管理和執(zhí)行人員的能力偏低，嚴重阻礙了安全目標的實現(xiàn)。

　　該報告的結(jié)論指出：“企業(yè)只有從根本上轉(zhuǎn)變信息安全管理策略，才能有效應對現(xiàn)有安全威脅，及由新興技術(shù)帶來的新的安全風險 。”

　　不斷升級的外部威脅

　　隨著信息安全威脅愈演愈烈、信息安全事故頻發(fā)，企業(yè)也意識到所面臨的風險環(huán)境正不斷地改變。盡管企業(yè)做出種種改進，仍然跟不上風險變化的速度。2009年，有41%的受訪者注意到外部攻擊正不斷增加;到了2011年，這一數(shù)字升至72%;而在2012年，這個比例增至77%。不斷加劇的外部攻擊包括黑客行為、間諜活動、有組織的犯罪、以及恐怖主義等。同時，企業(yè)也注意到內(nèi)部安全方面的挑戰(zhàn)不斷增加。該報告顯示，近一半的受訪者(46%)表示已關(guān)注到這一點，他們認為員工信息安全意識薄弱是成功實施信息安全項目的最大挑戰(zhàn)。

　　勢不可擋的云服務(wù)的應用

　　新技術(shù)在為企業(yè)帶來無限商機的同時，也引發(fā)了一些新的潛在威脅。云計算是業(yè)務(wù)模式創(chuàng)新的主要驅(qū)動因素之一，在過去兩年中，應用云計算的企業(yè)數(shù)量已經(jīng)翻倍。然而，仍有38%的受訪者表示其所在的企業(yè)沒有采取任何措施應對風險;例如諸多企業(yè)并未對云計算服務(wù)提供商的合同管理開展相對更嚴格的監(jiān)管流程，以及采用加密技術(shù)。

　　方興未艾的移動應用

　　在移動互聯(lián)網(wǎng)發(fā)展趨勢下，企業(yè)員工購買并使用智能手機與服務(wù)的情況將越來越多。利用個人設(shè)備接入企業(yè)應用，有助于企業(yè)降低整體的設(shè)備采購成本，并有助于提高員工的工作效率，且能激發(fā)員工的創(chuàng)造力。然而，風險總是與機遇并存。企業(yè)亟需找到引導員工正確使用工作設(shè)備與個人設(shè)備的解決方案，為此也必須深入考慮其中的信息安全問題。

　　安永大中華區(qū)信息科技風險與審計咨詢服務(wù)總監(jiān)林育民表示，“在2011年的調(diào)查中，BYOD(Bring Your Own Device)比率僅為20%;而今年的調(diào)查結(jié)果顯示，有44%的企業(yè)允許員工在工作中使用企業(yè)或者個人的平板電腦。這導致企業(yè)內(nèi)外信息交互量激增，也令相應的安全管控變得更加困難?！比欢?，在快速發(fā)展的移動應用環(huán)境中，對應的安全技術(shù)與軟件的使用率仍然較低，調(diào)查中發(fā)現(xiàn)，只有40%的企業(yè)對其移動設(shè)備采用了加密技術(shù)。

　　日漸盛行的社交媒介

　　社交媒體在創(chuàng)造眾多機遇的同時，也帶來許多新的挑戰(zhàn);通過社交媒體，企業(yè)能迅速建立品牌與開拓市場，同樣也可以快速地對企業(yè)形象造成重大的負面沖擊。此外，隨之而來的挑戰(zhàn)，還包括數(shù)據(jù)安全、隱私隱患、監(jiān)管與合規(guī)要求，以及對員工生產(chǎn)力的影響。今年的調(diào)查結(jié)果顯示，約31%的受訪者表示其所在的企業(yè)，沒有設(shè)計相應的機制來應對社交媒介使用所帶來的風險;這不但造成企業(yè)整體風險的上升，更嚴重沖擊企業(yè)未來全面利用社交媒體渠道行銷的能力。

　　亟須提升的信息安全資源與能力

　　從股東與投資人角度來看，信息安全應該成為他們關(guān)注的重點之一，安全管理應得到充分的支持;然而，信息安全的資源與能力問題，依舊困擾著信息安全工作。在今年的調(diào)查報告中顯示， 62%的受訪問企業(yè)表示預算受限，是信息安全工作的主要障礙之一;此外，44%的企業(yè)表示，安全管理和執(zhí)行人員的能力偏低，嚴重阻礙了安全目標的實現(xiàn)。

　　林育民說，“對于有些企業(yè)來說，安全專業(yè)人士、安全成熟度或安全預算也許在決策過程中起到一定作用;然而，這些修補式或簡單疊加的應付方案，看似滿足了短期的信息安全需求，但也掩蓋了潛在的巨大安全隱患 ?！?/p>

　　此次調(diào)查也顯示，目前企業(yè)僅采用治標式和修補式的解決方案提高信息安全能力，卻忽略了對信息安全威脅的整體與全面的應對;僅約8%的受訪者表示在過去兩年中，企業(yè)發(fā)生的信息安全事故的數(shù)量有所減少， 因此建立一個強健的安全體系成為企業(yè)的當務(wù)之急。然而，約有63%的受訪者稱其所在企業(yè)尚未建立信息安全整體架構(gòu)體系，只有約16%的受訪者認為其所在企業(yè)的信息安全職能完全符合業(yè)務(wù)需求。

　　展望未來，阮祺康先生總結(jié)道，“盡管我們已經(jīng)發(fā)現(xiàn)信息安全現(xiàn)狀與企業(yè)的目標之間存在著不小差距，但是隨著新的政府監(jiān)管要求的出現(xiàn)與安全威脅的不斷變化，此差距還會進一步擴大。 如果企業(yè)不立刻采取措施建立全面的信息安全體系，那么現(xiàn)有的問題加上未知的隱患，只會讓企業(yè)面臨的信息安全環(huán)境更加惡化。應對這樣的形勢，縮小差距的唯一途徑只有對信息安全進行結(jié)構(gòu)性的轉(zhuǎn)變?！?/p>

　　阮祺康還表示，“實現(xiàn)這樣的調(diào)整并不一定需要復雜的技術(shù)解決方案，它需要的是領(lǐng)導力及承諾，再加上能力與行動的決心。不要總說在未來如何做，關(guān)鍵是當下的創(chuàng)新實踐。安永建議企業(yè)應該采取將信息安全戰(zhàn)略與企業(yè)戰(zhàn)略相聯(lián)系，重新設(shè)計架構(gòu)，持續(xù)實施轉(zhuǎn)型，深入了解新技術(shù)的風險與機遇等重要舉措。唯有如此，企業(yè)才能夠根本性地轉(zhuǎn)變其信息安全部門運作的方式，更有效地縮小不斷擴大的信息安全風險差距?！?/p>

The post 實施信息安全管理轉(zhuǎn)型刻不容緩 first appeared on ISO27001信息安全咨詢公司.

　　當今我國市場規(guī)模的不斷發(fā)展，企業(yè)競爭已經(jīng)從單一企業(yè)間的競爭朝著企業(yè)供應鏈之間的競爭發(fā)展、企業(yè)僅靠自身資源已經(jīng)無法有效地參與市場競爭，還必須把經(jīng)營過程中的有關(guān)各方納入一個緊密的供應鏈中，才能有效地安排企業(yè)的產(chǎn)、供、銷活動，滿足企業(yè)利用全社會一切市場資源快速高效地進行生產(chǎn)經(jīng)營的需求，以進一步提高效率和在市場上獲得競爭優(yōu)勢、針對這一需求，企業(yè)紛紛引進ERP系統(tǒng)，構(gòu)建企業(yè)信息化平臺、當前ERP系統(tǒng)是指針對物資資源管理、人力資源管理、財務(wù)資源管理、資源管理集成一體化的企業(yè)管理軟件、ERP系統(tǒng)實現(xiàn)了對整個企業(yè)供應鏈的管理、適應了企業(yè)在知識經(jīng)濟時代市場競爭的需要、鑒于ERP系統(tǒng)的巨大優(yōu)勢、目前絕大多數(shù)大型企業(yè)均實現(xiàn)了ERP系統(tǒng)的部署實施、然而，由于上存在大量的攻擊、木馬、蠕蟲等網(wǎng)絡(luò)威脅。而ERP系統(tǒng)的正常運行依賴于大量的網(wǎng)絡(luò)傳輸、處理和消息交互這就阻礙了ERP系統(tǒng)的應用與實施、因此，研究ERP系統(tǒng)所面對的安全威脅并采取相應措施進行規(guī)避是一項非常重要的課題。

　　二、ERP系統(tǒng)信息安全威脅

　　安全問題的產(chǎn)生是一個非常復雜的問題，包含了多種因素的相互作用、總結(jié)起來，企業(yè)ERP系統(tǒng)所面臨的信息安全威脅主要包括來自以下幾個方面的內(nèi)容。

　　(一)ERP網(wǎng)絡(luò)應用的威脅

　　來自網(wǎng)絡(luò)層面的威脅主要來自遠程訪問企業(yè)內(nèi)部系統(tǒng)所造成的信息泄漏隱患、隨著企業(yè)規(guī)模的不斷擴展，對外的銷售和物流網(wǎng)絡(luò)也隨之擴大。出差的業(yè)務(wù)員和某些客戶經(jīng)常需要在異地遠程訪問企業(yè)網(wǎng)絡(luò)資源、為此，ERP專門提供了a/s的訪問模式，使得異地用戶能夠使用瀏覽器通過虛擬專用網(wǎng)絡(luò)VPN訪問公司內(nèi)部資源、由于異地訪問行為不受約束，泄密行為時有發(fā)生，因此價值較高的商業(yè)機密有可能流失，比如企業(yè)產(chǎn)品的底價、設(shè)計圖紙等等、此外，內(nèi)部網(wǎng)絡(luò)的竊聽行為也給ERP系統(tǒng)的安全使用造成威脅、ERP系統(tǒng)應用時。其服務(wù)器端與客戶端數(shù)據(jù)的傳輸、都是通過明文傳輸?shù)?、用戶只需要在網(wǎng)絡(luò)上安裝一個監(jiān)聽軟件、就可以全面的了解用戶訪問的內(nèi)容。跳過客戶端的權(quán)限設(shè)置，從而達到網(wǎng)絡(luò)數(shù)據(jù)竊聽的目的。

　　(二)ERP統(tǒng)應用的威脅

　　如果ERP系統(tǒng)本身管理不當，也不會存在數(shù)據(jù)泄露的危險、從ERP系統(tǒng)的角度出發(fā)。主要的安全威脅就是權(quán)限配置不當所造成的。這類威脅主要在敏感數(shù)據(jù)缺乏分級管理機制，比如某個報表，只要有查看權(quán)限的都能夠看到全部信息，并且能夠?qū)С?。這就給敏感數(shù)據(jù)造成了很大的威脅、此外，很多員工的終端系統(tǒng)密碼設(shè)置較為簡單，大多使用生日或者電話，有的其至使用“12345″等簡單數(shù)字作為密碼，這類密碼強度不高，容易被破解。

　　(三)ERP統(tǒng)漏洞的威脅

　　ERP系統(tǒng)的構(gòu)建需要大量的軟硬件系統(tǒng)，涉及到網(wǎng)絡(luò)傳輸、Web瀏覽以及服務(wù)總線等多方面的技術(shù)，這些技術(shù)的實現(xiàn)需要大量的軟件，軟件不可能避免存在一些已知或者未知的漏洞、黑客能夠利用這些漏洞獲取ERP服務(wù)器的權(quán)限，從而擾亂系統(tǒng)的正常運行，并竊取重要的商業(yè)機密。

　　三、ERP信息安全保障措施

　　ERP系統(tǒng)的安全最重要，為了保障ERP系統(tǒng)在應用中的信息安全，針對上述三類威脅，具體來說有以下幾種方法進行應對。

　　(一)網(wǎng)絡(luò)傳輸安全保障ERP系統(tǒng)的傳輸安全可以從兩方面進行強化

　　1、對遠程訪問權(quán)限采用指紋、密碼等多種身份識別機制，同時限制遠程訪問行為所能夠接觸到資源的數(shù)量，在保障業(yè)務(wù)的同時避免泄密。

　　2、對數(shù)據(jù)報表采用嵌入水印的方式講行保護，比如一份報表如果事后被發(fā)現(xiàn)竊密了，可以通過水印的方式檢測出其它信息，并結(jié)合ERP日志進行輔助案件偵破。

　　(二)信息應用安全保障

　　ERP信息應用安全保障主要包括對重要數(shù)據(jù)進行分級管理，同時對所有合法用戶進行分級，確保他們所能訪問的數(shù)據(jù)級別和類型、比如某個員工只具有中級數(shù)據(jù)訪問權(quán)限，而某個報表的一些屬性項是高密級，它就無法查看該屬性項，而只能看到其他低密級選項。

　　(三)系統(tǒng)漏洞安全保障

　　ERP系統(tǒng)的漏洞修復工作主要依賴專業(yè)測評機構(gòu)的工作、通過定期安全測評、管理員能夠發(fā)現(xiàn)系統(tǒng)中存在的軟硬件漏洞，并及時采取相應措施進行修補、同時在配置上的問顆也要依賴系統(tǒng)管理員的經(jīng)驗，盡量少開放端口，并目保證一些不安全的服務(wù)必須受限、比如一些微軟公告所描述的信息往往包含ERP涉及軟件的漏洞。需要認即進行修補、因此，管理員的安全意識更需要進一步提高。

　　四、完善網(wǎng)絡(luò)信息安全保障體系

　　首先，需要制定完善的法律政策，以法制手段來強化網(wǎng)絡(luò)安全;其次，從管理上維護系統(tǒng)的安全，確定信息安全管理機構(gòu)和切實可行的網(wǎng)絡(luò)管理規(guī)章制度，加強信息安全教育、提高高層管理者的安全意識，以保證網(wǎng)絡(luò)信息安全;最后，從技術(shù)上采取措施，在企業(yè)內(nèi)部和互聯(lián)網(wǎng)之間要加一道防火墻，防止黑客或計算機病毒的襲擊，保護企業(yè)內(nèi)部的敏感數(shù)據(jù)。

　　五、加強對操作人品的培訓

　　企業(yè)信息化管理涉及整個企業(yè)經(jīng)營管理模式的變革，它把信息技術(shù)與管理相結(jié)合，利用先進技術(shù)不斷提高管理水平、加強財務(wù)管理信息化建設(shè)，必須從公司主要領(lǐng)導開始到所有工作人員進行動員，充分認識到信息化對提高管理水平的重要性、工作人員要在思想觀念上更新和轉(zhuǎn)變對管理的理解和認識，必須在系統(tǒng)上建立健全工作人員培訓制度，并在系統(tǒng)建設(shè)的全過程中貫徹落實，以提高員工的業(yè)務(wù)素質(zhì)以及熟練使用軟件的能力、具有創(chuàng)新能力的人員是企業(yè)順利而有效地開展管理創(chuàng)新的基礎(chǔ)，有針對性地對人員進行網(wǎng)絡(luò)技術(shù)培訓，可以提高人員的適應能力和創(chuàng)新能力、同時企業(yè)要樹立與網(wǎng)絡(luò)環(huán)境，適應的信息觀念、協(xié)作競爭觀念、以人為本觀念和開放型管理模式。

　　ERP系統(tǒng)的廣泛使用是信息化推進和企業(yè)市場規(guī)模發(fā)展到一定階段的產(chǎn)物、如何在利用ERP帶來的企業(yè)運營和管理便利的同時、盡可能避免安全威脅、是在ERP系統(tǒng)應用過程中需要詳細考慮的問題、隨著信息安全技術(shù)的不斷發(fā)展，不斷有新的威脅會出現(xiàn)，也需要ERP系統(tǒng)進一步提高安全意識，防范可能的網(wǎng)絡(luò)攻擊行為。

The post 淺析ERP系統(tǒng)環(huán)境下的企業(yè)信息安全管理 first appeared on ISO27001信息安全咨詢公司.

　　通知公告

　　通過信息安全相關(guān)公告通知發(fā)放的方式，在企業(yè)中滲透信息安全各方面的和知識，逐漸形成信息安全無處不在的工作氛圍，提升全員信息安全意識。信息安全公告的內(nèi)容可以包括行業(yè)在信息安全方面的新要求或指引的發(fā)布;企業(yè)內(nèi)部信息安全相關(guān)要求的發(fā)布;近期信息安全相關(guān)新聞的以及發(fā)生的信息安全事件等信息。信息安全公告的發(fā)布周期和發(fā)布形式可以根據(jù)企業(yè)自身情況而定，通過企業(yè)內(nèi)部使用的公共信息發(fā)布平臺、電子郵件、電子期刊等形式均可。

　　帳號管理

　　建議企業(yè)對各類帳號進行嚴格管理，包括基本帳號(員工入職后默認都需開通的帳號，例如郵箱帳號，OA帳號，所在部門的公共文件夾等)、工作所需的各類應用系統(tǒng)帳號(通常根據(jù)崗位職責所需開通的帳號)、特殊權(quán)限的帳號(例如應用系統(tǒng)管理員的帳號，數(shù)據(jù)庫管理員的帳號，域管理員的帳號等)，VPN等特殊應用的帳號。從管理角度，不同類別的帳號申請需要不同級別的管理人員授權(quán)，一方面企業(yè)需清晰識別各類賬號并定義申請流程和授權(quán)方式;同時也需要保留必要的申請記錄以便查證，及測量體系實施的有效性。從使用角度，需要加強對員工的培訓并制定必要的規(guī)范(例如不允許帳號共享，密碼定期修改等策略)，以確保帳號不被濫用誤用，從而降低信息安全事件的發(fā)生。

　　人員安全

　　員工作為企業(yè)信息使用和傳遞的重要載體，員工變動可能會給企業(yè)的信息安全帶來很大影響。在員工發(fā)生變動，即員工入職、轉(zhuǎn)崗和離職幾個關(guān)鍵點進行控制，可大大降低其對企業(yè)信息安全的影響。因此在入職前，許多企業(yè)會對關(guān)鍵崗位的員工進行背景調(diào)查并形成記錄，簽訂保密協(xié)議等;發(fā)生內(nèi)部職責變動時，要求員工填寫工作交接單，刪除其原有崗位賬號等措;離職時，要求員工填寫離職交接單，清理，歸還物品。同樣，在這些關(guān)鍵點，企業(yè)最好能制定明確的交接審批流程并妥善保留記錄。

　　設(shè)備安全

　　通常企業(yè)在資產(chǎn)管理方面相對完善，但對設(shè)備自身的信息安全管理相對弱很多，IT設(shè)備承載大量的企業(yè)信息數(shù)據(jù)，在維護過程中無論是對設(shè)備自身進行的更換、更新，還是對其承造的系統(tǒng)、應用和數(shù)據(jù)進行的配置調(diào)整、結(jié)構(gòu)調(diào)整等變更均有可能對其中的信息數(shù)據(jù)造成不利影響，甚至有可能導致應用不能使用影響到企業(yè)的正常業(yè)務(wù)操作。因為對IT設(shè)備變更進行控制是至關(guān)重要的，在實施變更前，須根據(jù)變更的緊急程度和可能帶來的影響程度進行變更分類和風險評估，制定詳細的變更計劃并得到相應級別的授權(quán);變更實施后須對變更結(jié)果進行記錄且進行回顧，以確保變更實施的成功和經(jīng)驗總結(jié)，具體實施方法可參照ITIL或ISO20000 IT服務(wù)管理的最佳實踐和國際標準。

　　軟件安全

　　自主研發(fā)軟件的專利及外購軟件的許可證管理均已成為企業(yè)不得不重視的問題，一旦疏忽就有可能給企業(yè)帶來很大的經(jīng)濟和名譽損失。通過信息安全管理體系的建設(shè)，許多企業(yè)要求軟件許可證也作為固定資產(chǎn)由專門部門管理，使用須進行登記，采購須申請，到期須提醒。人員變動、業(yè)務(wù)變動都有可能導致軟件的變更，因此對軟件許可證的管理并不是采購后進行登記一勞永逸的事情，在日常工作中需要保證一旦發(fā)生變化即更新許可證信息，且提前做好許可證過期的準備工作。

　　數(shù)據(jù)安全

　　數(shù)據(jù)對于企業(yè)是至關(guān)重要的，對其進行的安全管理措施更需加大力度。對存儲數(shù)據(jù)的移動介質(zhì)要做到登記并限制使用人群;對于大批量的數(shù)據(jù)清楚需要經(jīng)授權(quán)才可執(zhí)行;同時數(shù)據(jù)備份須落實到位，從業(yè)務(wù)角度識別數(shù)據(jù)備份需求，清晰定義數(shù)據(jù)備份策略(包括備份方式頻率等)，的;數(shù)據(jù)備份需要進行記錄，并定期進行恢復性測試保留記錄，從而降低數(shù)據(jù)損失的風險。

　　物理安全

　　大多數(shù)企業(yè)都設(shè)立了門衛(wèi)、保安、前臺等崗位，通過信息安全管理體系的建立，也采用了訪客登記，應用門禁系統(tǒng)等措施，對于敏感區(qū)域(例如財務(wù)、機房、研發(fā)中心等)進行了隔離或更高權(quán)限的物理訪問控制。但訪客登記進入后是否可以到處參觀，是否有專人陪同并登記，進入和離開的時間是否進行了記錄，必要時是否提交參觀申請得到授權(quán);員工門禁卡和鑰匙的領(lǐng)取是否進行了登記，敏感區(qū)的訪問是否提交了申請等這些方面均是物理安全的以保障的控制點。

　　安全檢查

　　安全檢查與年度或半年度的內(nèi)審并不同，審核通常會基于行業(yè)要求、標準規(guī)定和內(nèi)部規(guī)范進行能夠檢查，安全檢查目的是排查各方面的安全隱患，降低安全事件發(fā)生的風險，可以是隨機，也可是定期的。每次檢查結(jié)果可保存，可作為日后改進和信息安全管理體系(ISMS)有效性測量的依據(jù)。

　　安全事件

　　信息安全事件一旦發(fā)生，就須快速響應妥善處理，否則可能會給企業(yè)帶來更大損失。首先，企業(yè)須清晰定義什么是信息安全事件，使大家對信息安全事件形成相同的認識;第二，可根據(jù)信息安全事件的嚴重程度進行分級，定義不同級別的事件匯報途徑、升級時間和處理要求;且在整個公司公布相關(guān)要求，做到發(fā)生安全事件即報告記錄并快速響應處理。對于安全事件的管理可參照ITIL或ISO20000 IT服務(wù)管理的最佳實踐和國際標準的事件管理章節(jié)。

　　安全培訓

　　安全培訓也是一項應持續(xù)的長期活動，安全培訓可針對不同對象分成不同的培訓，可以定期組織面向管理層的信息安全標準、法律法規(guī)解讀的管理培訓;面向全員的信息安全意識普及性培訓;針對IT相關(guān)技術(shù)人員的信息安全技術(shù)知識的專業(yè)培訓;面向信息安全運維和管理人員提供的信息安全相關(guān)資質(zhì)認證培訓(CISSP、CISP、ISO27001主任審核員等)。建議企業(yè)對培訓過程、結(jié)果進行記錄，可作為信息安全體系建設(shè)的記錄和有效性測量的依據(jù)。

　　由此可看出，信息安全管理體系的落地貌似簡單，并非易事，貴在堅持，以上工作均需長期執(zhí)行，才可起到效果，逐步提升企業(yè)的信息安全管理水平并將信息安全滲透到企業(yè)的各個角落中形成安全的工作環(huán)境。

　　從上文中可看出，基本每塊內(nèi)容都提及了記錄保留相關(guān)信息等字眼，對這些長期工作的記錄保留目前各個企業(yè)采取不同的形式，有的領(lǐng)域采用紙張記錄，有些領(lǐng)域利用公司的一些操作平臺進行記錄(例如OA、IT服務(wù)管理系統(tǒng)等)，目前市面上協(xié)助信息安全管理體系落地的工具很稀缺，谷安天下數(shù)名信息安全領(lǐng)域的資深顧問共同總結(jié)多年信息安全管理方面經(jīng)驗結(jié)合各行業(yè)特點，開發(fā)了協(xié)助各行業(yè)企業(yè)建立并維護信息安全管理體系的一套工具(如下圖所示)，涵蓋了上文提及到的各個領(lǐng)域的安全運營管理。管理+工具的使用協(xié)助您將信息安全管理體系在貴企業(yè)中落地實施并持續(xù)改進。

The post ISO27001信息安全管理體系如何落到實處 first appeared on ISO27001信息安全咨詢公司.

IAF在通告中宣布，自2018年3月15日起，所有ISO9001和ISO 14001審核必須依據(jù)2015版標準執(zhí)行，包括初始審核、監(jiān)督審核和再認證審核。這意味著自明年3月15起，舊版的認證審核將成為歷史。這是根據(jù)2015版標準進行審核的一個新里程碑。

該變更將對我們客戶產(chǎn)生不同程度的影響。說明如下：

1.客戶無需采取措施的情況：
已成功完成轉(zhuǎn)版
轉(zhuǎn)版審核已完成，等待認證結(jié)果或證書頒發(fā)
轉(zhuǎn)版審核已排期，并將根據(jù)2015版新版標準進行（不管排期安排在2018年3月15日前或后）

2.建議客戶重新策劃，以便用轉(zhuǎn)版審核方式進行的情況：
將根據(jù)“舊版”標準進行的監(jiān)督審核或換證審核安排在2018年3月15日前

3.如果客戶屬于下面兩種情況，我們建議客戶盡早聯(lián)系排期，并將其轉(zhuǎn)成轉(zhuǎn)版審核來執(zhí)行。
將根據(jù)“舊版”標準進行的監(jiān)督審核或換證審核尚未排期，
將根據(jù)“舊版”標準進行的監(jiān)督審核或換證審核計劃在2018年3月15日后

更改后的轉(zhuǎn)版時間是強制性要求。我們不希望客戶因時間關(guān)系錯過了轉(zhuǎn)換期限，導致舊版認證證書失效、新版認證仍未完成的被動局面。

The post ISO9001和ISO14001體系轉(zhuǎn)版認證時間變更 first appeared on ISO27001信息安全咨詢公司.

以下是申請四證的具體要求和流程，供大家參考：
武器裝備科研生產(chǎn)單位保密資格認證
一、相關(guān)法律法規(guī)：
1、《中華人民共和國保守國家秘密法》
2、《中華人民共和國保守國家秘密法實施辦法》
3、《武器裝備科研生產(chǎn)單位保密資格認證審查管理辦法》
4、《武器裝備科研生產(chǎn)單位保密資格標準》

二、具備的條件：
1、中華人民共和國境內(nèi)登記注冊的企業(yè)法人或事業(yè)法人；
2、承擔或擬承擔武器裝備科研生產(chǎn)的項目或產(chǎn)品涉密；
3、無外商（含港澳臺）投資和雇用外籍人員，國家有特殊規(guī)定的除外；
4、承擔涉密武器裝備科研生產(chǎn)任務(wù)的人員，應當具有中華人民共和國國籍，在中華人民共和國境內(nèi)居住，與境外人員（含港澳臺）無婚姻關(guān)系；
5、有固定的科研生產(chǎn)和辦公場所，并符合國家有關(guān)安全保密要求；
6、1年內(nèi)未發(fā)生泄密事件；
7、無非法獲取、持有國家秘密以及其他嚴重違法行為。

三、審查認證機構(gòu)：
1、一級保密資格由國家軍工保密資格認證委審查。
2、二級、三級保密資格由?。▍^(qū)、市）軍工保密資格認證委審查。

四、申請材料：
1、武器裝備科研生產(chǎn)單位保密資格審查認證申請書；
2、武器裝備科研生產(chǎn)項目或產(chǎn)品涉及國家秘密證明表；
3、企業(yè)法人營業(yè)執(zhí)照或事業(yè)單位登記證書（復印件）；
4、組織機構(gòu)代碼證書（復印件）；
5、公司章程；
6、驗資報告；
7、土地使用證、房屋產(chǎn)權(quán)證或租賃合同（復印件）；
8、國家軍工保密資格認證委要求提供的其他材料。
武器裝備科研生產(chǎn)許可證
一、相關(guān)法律法規(guī)：
1、《武器裝備科研生產(chǎn)許可管理條例》
2、《武器裝備科研生產(chǎn)許可實施辦法》
3、《武器裝備科研生產(chǎn)許可目錄》

二、具備的條件：
1、具有法人資格；
2、有與申請從事的武器裝備科研生產(chǎn)活動相適應的專業(yè)技術(shù)人員；
3、有與申請從事的武器裝備科研生產(chǎn)活動相適應的科研生產(chǎn)條件和檢驗檢測、試驗手段；
4、有與申請從事的武器裝備科研生產(chǎn)活動相適應的技術(shù)和工藝；
5、經(jīng)評定合格的質(zhì)量管理體系（注：可以不是國軍標質(zhì)量體系認證）；
6、與申請從事的武器裝備科研生產(chǎn)活動相適應的安全生產(chǎn)條件；
7、有與申請從事的武器裝備科研生產(chǎn)活動相適應的保密資格。

三、審查認證機構(gòu)：
1、一類許可項目或產(chǎn)品由國防科工局組織審查。
2、二類許可項目或產(chǎn)品由省級國防科技工業(yè)管理部門組織審查。

四、申請材料：
1、武器裝備科研生產(chǎn)許可證申請書；
2、企業(yè)營業(yè)執(zhí)照或事業(yè)單位法人證書；
3、質(zhì)量管理體系認證證書；
4、保密資格證書；
5、消防達標文件；
6、安全生產(chǎn)達標文件或者安全生產(chǎn)評價報告；
7、環(huán)保驗收達標文件；
8、公司章程；
9、土地使用證、房屋產(chǎn)權(quán)證或租賃合同（復印件）；
10、財務(wù)審計報告；
11、其它有關(guān)材料。
國軍標（GJB9001B-2009）質(zhì)量管理體系認證
一、相關(guān)法律法規(guī)：
1、《中國人民解放軍裝備條例》
2、《裝備承制單位資格審查規(guī)范（試行）》
3、《GJB9001B-2009 質(zhì)量管理體系 要求》

二、具備的條件：
1、承擔武器裝備論證、研制、生產(chǎn)、維修任務(wù)的單位或是與之配套的整機、部件、組件、器件和材料生產(chǎn)單位；
2、具有法人資格；
3、有固定科研生產(chǎn)場所、檢驗檢測手段和相應的專業(yè)技術(shù)人員；
4、建立國軍標質(zhì)量管理體系；
5、質(zhì)量管理體系運行三個月以上，完成內(nèi)審和管理評審；
6、運行期間有訂貨及交付發(fā)生，且現(xiàn)場審核時應有軍品生產(chǎn)。

三、審查認證機構(gòu)：
1、武器裝備質(zhì)量管理體系認證委員會（委托中國新時代認證中心和賽寶認證中心）
2、北京軍友誠信質(zhì)量認證有限公司

四、申請材料：
1、申請書；
2、軍代表推薦意見書；
3、產(chǎn)品所在階段情況調(diào)查表；
4、企業(yè)法人營業(yè)執(zhí)照（復印件）；
5、組織機構(gòu)代碼證書（復印件）；
6、產(chǎn)品實現(xiàn)流程圖；
7、主要設(shè)備一覽表；
8、質(zhì)量手冊、程序文件；
9、其它有關(guān)材料。

五、特別說明
1、根據(jù)各認證機構(gòu)要求，國軍標質(zhì)量管理體系認證申請材料略有不同。
2、注：《申請書》需軍方用戶簽署認證推薦并蓋章確認，同時填寫《產(chǎn)品所在階段情況調(diào)查表》。如該申請組織是部隊，可由上級主管部門簽字、蓋章。對地方企業(yè)申請時，需有相關(guān)軍代表出具《推薦意見書》，其內(nèi)容包括：企業(yè)人員、技術(shù)、設(shè)備情況；產(chǎn)品質(zhì)量狀況；對配套企業(yè)，要注明產(chǎn)品與裝備的關(guān)系（用在什么地方）；說明申請認證產(chǎn)品與推薦單位的關(guān)系。

裝備承制單位資格審查
一、法律法規(guī)：
1、《中國人民解放軍裝備條例》
2、《資格審查管理規(guī)定》
3、《GJB5917-2006 裝備承制單位資格審查》
4、《GJB9001B-2009 質(zhì)量管理體系 要求》

二、具備的條件：
1、具有法人資格。無法人資格的特殊裝備承制單位具備獨立承擔民事責任的能力。
2、具有與申請承擔任務(wù)相適應的專業(yè)(行業(yè))技術(shù)資格。
3、具有健全的質(zhì)量管理體系，具備與申請承擔任務(wù)相當?shù)馁|(zhì)量管理水平和質(zhì)量保證能力。
4、具有健全的財務(wù)會計制度、良好的資金運營狀況，具備與申請承擔任務(wù)相適應的資金規(guī)模。
5、在近三年內(nèi)無嚴重延期交貨記錄，產(chǎn)品、服務(wù)無重大質(zhì)量問題，無虛報成本等違紀、違法行為。
6、具有與申請承擔任務(wù)相當?shù)谋Ｃ苜Y格等級。
7、總裝備部規(guī)定的其他要求。

三、審查認證機構(gòu)：
中國人民解放軍總裝備部

四、申請材料：
1、裝備承制單位資格審查申請表；
2、企業(yè)營業(yè)執(zhí)照或事業(yè)單位法人證書（復印件）；
3、質(zhì)量管理體系認證證書（復印件）；
4、保密資格證書（復印件）；
5、公司章程；
6、土地使用證、房屋產(chǎn)權(quán)證或租賃合同（復印件）；
7、財務(wù)審計報告；
8、其它有關(guān)材料。
（綜合自互聯(lián)網(wǎng)，以上內(nèi)容供參考）

The post “軍工四證”哪里辦，找誰辦？需要準備什么材料？ first appeared on ISO27001信息安全咨詢公司.

雖然現(xiàn)在有很多的民企想取得國軍標質(zhì)量管理體系認證，獲取進入軍工的一把鑰匙，但是因為這些民企不知道申請國軍標質(zhì)量管理體系認證的基本條件，也不知道申請國軍標質(zhì)量管理體系認證的流程，所以這些民企只能一直處于軍工市場之外，失去了參與軍工產(chǎn)品生產(chǎn)的機會。因此民企需要了解申請國軍標質(zhì)量管理體系認證的基本條件和申請國軍標質(zhì)量管理體系認證的流程。
一、申請國軍標質(zhì)量管理體系認證的基本條件
（一）應為武器、武器系統(tǒng)和軍事技術(shù)器材承擔論證、研制、生產(chǎn)、維修任務(wù)的組織，或是與之配套的整機、部件、組件、器件和材料生產(chǎn)組織，或是為武器裝備進行試驗、貯存和工程建設(shè)等的組織。（二）需要具備相應的資質(zhì)，（如營業(yè)執(zhí)照、組織機構(gòu)代碼、相關(guān)的國家行政審批資質(zhì)或行業(yè)資質(zhì)），以及具備必要的設(shè)施和資源，能夠正常開展經(jīng)營活動。（三）申請認證前需要按照國家軍用標準GJB 9001B-2009《質(zhì)量管理體系要求》建立體系，并且需要運行3個月以上，完成內(nèi)審和管理評審。運行期間有訂貨及交付發(fā)生，且現(xiàn)場審核時應有軍品生產(chǎn)。
二、申請國軍標質(zhì)量管理體系認證的流程
1、在單位內(nèi)部按照《GJB9001B-2009 質(zhì)量管理體系要求》進行貫標；2、完成內(nèi)部審核和管理評審；3、初次認證申請組織，申請書需要請軍方用戶簽署推薦意見并蓋章確認，同時需要填寫《產(chǎn)品所在階段情況調(diào)查表》。如果申請組織是部隊，可由上級主管部門簽字、蓋章。如果是民營企業(yè)申請軍品，需要有軍代表的意見書，其內(nèi)容至少包括：人員狀況；技術(shù)、設(shè)備情況；產(chǎn)品質(zhì)量狀況；對配套企業(yè)，要注明產(chǎn)品與裝備的關(guān)系(用在什么地方)，并且需要說明生產(chǎn)的產(chǎn)品與軍方單位的關(guān)系。
4、向授權(quán)認證機構(gòu)提交申請材料并與申請單位簽訂認證合同書；5、進行現(xiàn)場審核。初次審核分二個階段進行 第一階段審核主要涉及：文審、與軍代表或顧客座談、了解體系的建立與運行情況、確認審核范圍及標準刪減內(nèi)容等。
第二階段現(xiàn)場審核通常在第一階段審核提出問題關(guān)閉后進行，并與第一階段間隔時間不超過4個月，以審核計劃安排為準。第二階段審核是全部門、全產(chǎn)品、全過程、全要求覆蓋的符合性審核。
6、審核后報批程序。
普通產(chǎn)品質(zhì)量的好壞關(guān)系著產(chǎn)品使用者的切身利益，而民企向軍方提供產(chǎn)品質(zhì)量的好壞直接關(guān)系著軍隊的日常訓練工作，甚至會影響到國防和軍隊的現(xiàn)代化建設(shè)，因此民企只有取得了國軍標質(zhì)量管理體系認證，才可以保證軍工產(chǎn)品的質(zhì)量，并且民企才會更加有機會進入軍工市場。如果你想要具體了解關(guān)于國軍標質(zhì)量管理體系認證以及軍工資質(zhì)方面的相關(guān)內(nèi)容，可通過中國軍地網(wǎng)中的民參軍欄目中的軍工資質(zhì)輔導進行查看。

The post 申請國軍標質(zhì)量管理體系認證的基本條件與流程 first appeared on ISO27001信息安全咨詢公司.

汽車行業(yè)質(zhì)量管理中應用最廣泛的國際標準ISO/TS16949，很快將由國際汽車特別工作組（IATF）進行出版并演變成了全新的全球汽車行業(yè)標準IATF16949:2016 ,ISO/TS16949汽車行業(yè)的質(zhì)量管理系統(tǒng)的技術(shù)規(guī)范最初是在1999年由IATF會同ISO技術(shù)委員會ISO/TC176發(fā)展出來的。從那時起，它已成為使用最廣泛的汽車行業(yè)國際標準，該標準旨在協(xié)調(diào)全球汽車供應鏈中不同的評估和認證體系。

預計在2016年10月，IATF16949：2016年將會由IATF發(fā)布，并取代和替換當前的 ISO/TS16949，重新定義了對汽車行業(yè)供應鏈中組織的質(zhì)量管理體系要求。它將參考當前的ISO 9001：2015質(zhì)量管理體系標準。 IATF16949：2016將充分依據(jù)ISO 9001：2015的結(jié)構(gòu)和要求。 IATF16949：2016不是一個獨立的質(zhì)量管理標準，它是與ISO 9001：2015的結(jié)合和補充。

IATF將通過參與ISO/ TC 176技術(shù)委員會來維持與ISO國際標準化組織的緊密聯(lián)系，確保隨同ISO9001標準的持續(xù)調(diào)整。

有關(guān)IATF16949：2016的更多信息：可以從IATF網(wǎng)站和當?shù)氐腎ATF監(jiān)督辦公室或IATF的國家協(xié)會獲得。安賽也會隨時與廣大客戶更新及分享有關(guān)ISO/TS16949更新改版的最新動態(tài).

(以上信息來源: ISO國際標準化組織)

The post ISO/TS16949 將全面更名為IATF16949:2016 first appeared on ISO27001信息安全咨詢公司.

The post 等保制度與ISO27001的區(qū)別 first appeared on ISO27001信息安全咨詢公司.