尊龙凯时 - 人生就是搏!

行业观点
专家说 | 张琼文:眼花缭乱系统多 信息安全需警惕

伴随信息技术的发展,电子设备与信息化系统在临床研究领域的应用日益广泛,越来越多的文件、数据、流程实现电子化传输与协作,但与此同时,信息安全事件不断,保障信息安全成为客户最关心的问题之一。

尊龙凯时高度重视客户信息系统的安全建设和隐私数据保护。截至2021年11月,尊龙凯时已获得ISO27001(信息安全管理体系)、ISO27701(隐私信息管理体系)等一系列权威认证;获得由独立第三方审计机构出具的SOC2 Type1鉴证报告;与此同时,尊龙凯时还通过了公安部等级保护三级认证,工信部可信云企业级SaaS认证,是互联网尊龙凯时健康产业联盟副理事长单位,工信部中国信通院“卓信大数据计划”首批成员单位。

那么,这些认证究竟分别代表什么意思,如何开展,其价值何在?尊龙凯时信息安全合规专家张琼文将为您解答:

图片

张琼文

尊龙凯时信息安全合规专家

多年信息安全体系建设

及合规咨询经验

资质证书:

CISP注册信息安全专业人员证书
ISO27001审核员证书
ISO20000审核员证书
CSAP注册信息安全意识官证书

第一部分

信息安全及隐私防护资质如何认证?

加强和规范信息安全管理已成为企业信息安全管理的基础工作,而信息安全资质认证则是其中重要一环。

目前,常见信息安全资质认证包括网络安全等级保护、ISO/IEC 27001、SOC2鉴证报告和可信云评估等。各个认证需要关注哪些内容,又各具哪些特色呢?

01

网络安全等级保护

网络安全等级保护的本质,是对现有网络系统依据影响程度的不同,按照国家划分的统一标准,分级展开信息安全防护工作。


2019年国家更新了网络安全等级保护的标准——《GBT 22239-2019 信息安全技术:网络安全等级保护基本要求》(简称等保2.0),目前网络安全等级保护工作,都基于以网络安全等级保护2.0的内容进行管理和落实。通过融合技术要求和管理要求,建立网络完全防护框架及运营体系,整体构建针对特定系统的网络安全防护框架。

网络安全等级保护,从低到高主要分为自主保护级、指导保护级、监管保护级、强制性保护级以及专控保护级5个级别。其中第二级及以上的系统在自主定级后,需要公安机关评定最终等级。系统等级保护级别的确定,主要以当业务信息安全遭受破坏时对相应客体造成的影响而作为依据。“等保三级”是对常见非金融系统的最大等级保护验证,一般重要信息系统均会评定为等级三级。依据《卫生行业信息安全等级保护工作的指导意见》,三级甲等医院的核心业务信息系统、国家级数据中心及其他重要卫生信息系统安全保护等级原则上不低于第三级,例如互联网医院服务平台,就会被评定为等保三级。

 

02

 ISO/IEC 27001信息安全管理体系

今天,各行各业面临的信息安全威胁不断变化,需建立动态持续的信息安全管理框架进行安全维护,让企业的信息安全风险可控,现有条件下和资源能力范围内获得最大程度的安全。

ISO/IEC 27001信息安全管理体系是基于信息资产信息安全风险管理为核心的体系,该认证标准也是目前国际上最权威、被广泛接受和应用的信息安全标准。ISO/IEC 27001:2013 标准中,除去正文部分外,共包括14个控制域,全面覆盖企业信息安全管理全方位内容,例如办公区域需做好访问控制、员工离开工位应随手锁屏、员工入职应进行背景调查、离职应做好账号物品交接、企业资产应根据存储数据重要性的不同,进行不同级别的安全防护等。同时,ISO/IEC 27001信息安全管理体系依据PDCA的准则,从建立、实施、维护和持续改进四个方面不断循环往复,增强企业信息安全管理水平。

2019年8月,ISO组织正式发布了《ISO/IEC 27701信息技术 ISO/IEC 27001和ISO/IEC 27002 隐私信息管理体系拓展 - 要求和准则》,该标准在隐私方面提出了必要的要求。换句话说,ISO 27701隐私信息管理体系就是保护个人身份信息(PII)的管理体系(PIMS),个人身份信息(PII)是与自然人相关的各类数据,其中日常工作生活中被忽略的比如声纹、用药记录、行踪轨迹、精准定位信息都属于个人身份信息的范畴。

 

03

SOC2鉴证报告

2010年4月,美国注册会计师协会(AICPA)建立了针对服务商的内部控制情况进行审计而进行的第三方独立报告,命名为服务组织控制(Service Organization Control (SOC) 报告。SOC鉴证报告分为SOC1、SOC2、SOC3。其中SOC2更关注安全性、处理完整性、可用性及保密性相关的内部控制活动,报告内容中会针对企业现有信息安全管控方法进行详细的描述,因其具有高度客观性、持续性和高认可度,目前已成为全球公认的数据安全审计凭证。

其中,SOC2具有五大信任原则:

 

安全性:

保护系统资源免受未经授权的访问

完整性:

系统是否在正确的时间以正确的状态提供正确的数据

可用性:

合同或服务水平协议规定的系统、产品或服务的可访问性

隐私性:

GAPP中规定的标准收集、使用、保留、披露和处置个人信息

保密性:

机密数据防护

 

04

可信云评估-企业SaaS服务

可信云认证是由数据中心联盟、中国信息通信研究院(工信部电信研究院)测试评估的面向云计算服务产业的认证体系,是中国唯一的云计算权威认证体系,也是国际标准之一。其核心目标是建立云服务商的评估体系,为用户选择安全、可信的云服务商提供支撑,并最终促进我国云计算市场健康、有序发展。

可信云评估包含很多种类,例如基础云服务、混合云、私有云软件、开发运维、开源治理能力和安全、风险管理能力。其中,企业SaaS服务可行性评估主要包含企业信息真实性披露、云服务指标的完备性和规范性、云服务指标的真实性三个部分内容。

对于企业SaaS服务,特色在于它聚焦服务特色,从数据安全、运营能力、服务质量、权益保障以及其他一些特有的指标来进行全面评估,帮助企业客户来全面衡量企业SaaS服务的一个可信程度。值得注意的是,可信云评估需持续评审维持有效性,证书有效期为3年,每年需进行系统复审维持证书有效性。

第二部分

信息安全运营能力及行业影响

目前已有TC260、卓信大数据计划等诸多信息安全产业组织及联盟。对于企业而言,加入信息安全联盟组织有何价值呢?

第一方面,企业加入联盟,需要经过审核方可加入,说明企业自身具备一定的信息安全管理实力,企业领导高度重视信息安全。

第二方面,可以接触最前沿的信息安全技术或管理思路,与同行相互交流信息安全最佳实践,助推行业发展。

尊龙凯时高度重视信息安全工作,期待携手各方以共识促共建,以共建赋能行业价值,一起共同维护企业安全,赋能行业信息安全建设,共建行业良好的安全氛围,共同推动信息安全的创新和进步。

接下来还会有关于信息安全的系列分享,敬请期待。

 

友情链接: