未来,Sinokap 将持续强化质量管理,严格遵守安全规范,密切关注客户需求,持续为客户提供卓越的 IT 服务。
Sinokap 通过 ISO 27001:2013 信息安全管理体系及 ISO 20000-1:2018 IT 服务管理认证
Sinokap 很高兴地宣布,在国家权威机构的严格评估和审计后,我们已成功获得 ISO/IEC 27001:2013 信息安全管理体系认证 以及 ISO/IEC 20000-1:2018 IT 服务管理体系认证。
在 Sinokap,我们秉持高标准、严要求和规范化运营管理作为基本原则。获得这两项认证,意味着我们在信息安全管理和技术服务方面已建立了标准化、流程化的体系,达到了国际和国内先进的管理水平。这一成就不仅证明了 Sinokap 各项运营的规范化,也为公司未来的持续稳定发展提供了重要保障。
认证流程
通常,评估分为三个阶段:现场检查、文件审核和随机访谈。由于疫情影响,最初的现场检查通过线上方式进行,重点关注服务器机房、文件柜及员工工作环境等区域的安全性。评估涵盖了日常运营、管理机制及系统配置,以判断公司当前信息安全管理状况。随后,对文件和工作流程进行了全面审查。最后,审计专家与 Sinokap 员工进行了详细讨论,全面检查了组织结构、设施、人员培训、质量管理、信息安全及管理文档等方面。审计结果显示,公司信息安全管理体系健全,服务标准完善,所有材料规范且真实,符合两项认证的要求。因此,Sinokap 成功通过了认证。
什么是 ISO
ISO 是国际标准化组织(International Organization for Standardization)的简称,是全球最大的自愿性国际标准制定机构。ISO 成立于 1947 年 2 月 23 日,其前身为 1928 年成立的国际国家标准化协会联合会(ISA)。ISO 由来自 100 多个国家的国家标准化机构组成,中国由中国国家技术监督局(CSBTS)代表。
ISO 标准覆盖全面,规范企业内的所有流程,涵盖从高层管理到基层员工的每一个环节,为达成国际标准共识提供机制。欲了解更多信息,请访问 ISO 官方网站。
ISO/IEC 27001:2013 标准版本
ISO/IEC 27001:2013 信息安全管理体系(简称 “ISMS”)是一项正式标准,规定了建立、实施、维护及持续改进信息安全管理体系的要求。该标准由 ISO/IEC 联合技术委员会发布,概述了众多控制措施和机制,帮助各种类型和规模的组织保护其信息资产。
这一全球标准为政策和流程提供了框架,涵盖组织信息风险管理过程中涉及的所有法律、物理和技术控制。作为正式规范,它定义了实施、监控、维护及持续改进信息安全管理体系的要求。此外,标准还规定了一系列最佳实践,包括文档要求、责任分配、可用性、访问控制、安全、审计以及纠正与预防措施。
获得 ISO/IEC 27001 认证有助于组织遵守与信息安全相关的各项法规和法律要求。
在当今社会,信息安全问题日益突出。系统崩溃、黑客入侵、病毒感染、客户数据丢失以及内部数据泄露都对企业管理和生存带来了重大挑战。建立信息安全管理体系(ISMS)表明企业已实施科学有效的管理体系以保障信息安全。这不仅为持续改进和深化体系执行提供了起点,还能促使每位员工培养问题意识,主动识别工作中的潜在问题,并系统性地加以解决。在可控的软件资产管理前提下,企业能够持续为客户提供安全可靠的软件产品和服务。
ISO 27001:2013 标准结构与章节
本标准的适用范围
本文件的引用方法
重用 ISO/IEC 27000 的术语和定义
组织背景与相关方
信息安全领导与高层管理政策支持
信息安全管理体系的规划:风险评估与风险处理
信息安全管理体系的支持
确保信息安全管理体系的有效运行
审核体系的绩效评估
纠正措施
ISO 27001:2013 风险控制方法
ISO/IEC 27001 第 6.1.3 条描述了组织应如何通过风险处理计划应对风险。其中一个关键环节是选择适当的风险控制措施。
A.5:信息安全政策(2 条控制措施)
A.6:信息安全组织(7 条控制措施)
A.7:人力资源安全——涵盖入职前、在职期间及离职后(6 条控制措施)
A.8:资产管理(10 条控制措施)
A.9:访问控制(14 条控制措施)
A.10:密码学(2 条控制措施)
A.11:物理与环境安全(15 条控制措施)
A.12:运营安全(14 条控制措施)
A.13:通信安全(7 条控制措施)
A.14:系统采购、开发与维护(13 条控制措施)
A.15:供应商关系(5 条控制措施)
A.16:信息安全事件管理(7 条控制措施)
A.17:业务连续性管理的信息安全方面(4 条控制措施)
A.18:合规性——涵盖内部(如政策)和外部(如法律法规)要求(8 条控制措施)
ISO/IEC 20000-1:2018标准版本
ISO/IEC 20000-1:2018 是 IT 服务管理领域的最新国际标准。该标准定义了 IT 服务管理系统的开发、实施、监控、维护与改进的要求,为组织建立、实施、运行、监控、评审、维护和改进 IT 服务管理系统提供了模型。
建立 IT 服务管理系统的目标是为组织内部打造一个高效、以客户为中心、可自我改进的管理框架。在实施 ISO 20000 管理体系后,各流程和岗位将形成自我改进循环,涵盖计划、执行、检查以及持续的问题发现与解决。这使每位员工能够增强问题意识,主动识别工作中的问题,并系统性地加以解决。获得 ISO 20000 认证意味着提供服务的 IT 组织在标准涉及的所有流程中已展现出充分的管理控制能力和服务水平。
ISO 附录 SL 第 9 主要章节
附录 SL 定义了管理体系的通用框架。通过将具体的管理要求纳入该框架,它成为满足各类管理体系标准的基础。
范围(Scope)
引用标准(Normative references)
用语与定义(Terms and Definitions)
服务管理系统一般要求(Service management system general requirements)
新增或变更服务的规划与实施(Design and transition of new or changed services)
服务交付流程(Service delivery processes)
关系流程(Relationship process)
解决流程(Resolution Processes)
控制流程(Control Processes)
ISO/IEC 20000:2018 与 2011 版本的差异
引入新的高层次文档结构:与其他管理体系标准保持一致,使组织更容易同时符合多项标准,如 ISO 9001(质量管理)或 ISO 27001(信息安全管理)。
术语和定义修订:包括管理体系标准特有的术语,并新增对 ISO/IEC 20000-10 中术语和定义的引用。
条款修订与新增:反映服务管理的发展趋势,例如商品化服务以及服务整合商管理多服务提供商的角色。
删除部分详细要求:为组织提供更大的灵活性,以满足合规要求。
引入明确要求:建立、实施、维护和持续改进服务管理体系(SMS)。
移除对 PDCA(计划-执行-检查-行动)方法的引用:允许组织可结合其他改进方法与管理体系标准使用。
新增组织背景和风险及机会处理要求。
更新文件化信息、资源、能力和意识的要求。
新增服务规划、知识管理、资产管理、需求管理和服务交付的要求。
事件管理和服务请求管理要求分离:形成两套独立的要求。
本期目录
What We Provide
Managed IT Service
How can we help you?
Call Us, Write Us, Or Knock On Our Door. We are here to help. Thanks for contacting us!
