新闻资讯

NEWS INFOAMATION
新闻资讯

祝贺我司中标中国移动云能力中心ISO资质支撑服

发布时间:2020-03-27  /  浏览次数:3,312 次

 

2020年3月23日,智联信息咨询部成功中标中移苏研院2020年ISO资质支撑服务项目。

中移(苏州)软件技术有限公司(中国移动云能力中心)是中国移动通信有限公司的全资子公司。公司定位为中国移动云设施构建者、云服务提供者、云生态汇聚者。公司以移动云运营为中心,产品和服务在政务、金融、制造、交通、医疗等行业得到广泛应用。

公司正处在快速发展阶段,现有正式员工超过1500人,远期人员规模4500人。技术实力不断积累, 目前累计申请专利超400项,软件著作权授权100余项,2018年人均专利产值达到0.26。现已获得一系列资质认证,包括国家高新技术企业、国家重点软件企业、CMMI-3、信息系统集成二级、信息安全服务一级资质、ISO9001、ISO27001、ISO14001等。

自2014年中移苏研院成立以来,智联信息一直持续为苏研院的资质规划和发展提供了全过程的咨询与评估服务,随着苏研院规模的不断扩大,先后完成了CMMI3级-5级,系统集成二级,信息安全服务一级(测评中心),ISO9001,ISO14001,ISO18001,ISO27001,ISO20000, ITSS3级-2级,SA8000等资质。本次中标项目内容除了包括完成苏研院(中移云能力中心)的现有多体系的监督咨询服务,更是新增了多项国内国际领先的管理体系,包括ISO22301,ISO27017,ISO27018,CSA-STAR,ISO27701,ISO27040。我们将一如既往的为中国移动云能力中心的高速发展提供在研发流程和资质规划方面的技术输出。

 

ISO45001
在ISO45001新标准中,一个组织将不仅仅专注于其直接的健康和安全问题,而是会考虑到更大的社会期许。在企业内部,我们组织需要考虑到分包商和供应商,还有自身的工作会在周围对相邻的邻居造成怎样的影响。这会比仅仅关注与内部员工的条件更加广泛,意味着组织不能仅仅将其风险通过外包“嫁接”出去。
ISO45001是OHSAS18001老标准的ISO标准族,特别强调这些职业健康和安全因素体现在组织的整个管理体系中,需要从管理和领导层获得更高程度的认可。这对于那些目前习惯于将责任授权给一个安全经理而不是完全地融合入组织的运行中的使用者来说,将是一个很大的变化。ISO45001要求职业健康和安全因素是组织完整管理体系中不可分割的一部分,而不再只是附加的部分。标准要求组织在策划职业健康安全体系时,应确定组织所需要应对的风险和机遇。风险和机遇存在于组织的危险源、合规性,以及所处的环境和相关方需求和期望中。标准要求组织要采取应对风险和机遇的措施,以确保体系能够实现组织的预期结果,实现组织在职业健康安全方面的持续改进。

 

ISO27001、ISO20000

ISO22301业务连续性是衡量一个企业应对风险、自动调整和快速反应的能力,以此来保证企业业务的连续运转。云厂商承载着云上业务的运行,业务连续性对云厂商更为重要,中国移动云能力中心的业务连续性机制可以通过完整的业务连续性计划和定期演练以及数据的异地备份存储,保证业务的高可用、连续操作和灾难恢复的能力,本次中国移动云能力中心启动ISO22301项目的咨询与认证工作,将有效提高中国移动云能力中心对外提供持续的服务能力的业务连续性,通过对中国移动云能力中心的业务影响分析,识别业务风险,建立强大的灾难恢复能力,从而使得中国移动云能力中心具有持续服务的能力。
ISO 20000是面向机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。建立IT服务管理体系(ITSM)已成为各种组织,特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO20000让IT管理者有一个参考框架用来管理IT服务,完善的IT管理水平也能通过认证的方式表现出来,中国移动云能力中心在2018年建立了ISO20000的体系,同时中国移动云能力中心在我公司的协助下,在2016年即启动了ITSS信息技术服务标准的建立,引入ITSS二级的PPTR四要素深度结合ISO20000的13大流程,建立了中国移动云能力中心的运维管理体系,同时我们参与策划和建立了中国移动云能力中心运维资源管理平台,实现运维的自动化和智能化。

 

ISO22301

ISO22301业务连续性是衡量一个企业应对风险、自动调整和快速反应的能力,以此来保证企业业务的连续运转。云厂商承载着云上业务的运行,业务连续性对云厂商更为重要,中国移动云能力中心的业务连续性机制可以通过完整的业务连续性计划和定期演练以及数据的异地备份存储,保证业务的高可用、连续操作和灾难恢复的能力,本次中国移动云能力中心启动ISO22301项目的咨询与认证工作,将有效提高中国移动云能力中心对外提供持续的服务能力的业务连续性,通过对中国移动云能力中心的业务影响分析,识别业务风险,建立强大的灾难恢复能力,从而使得中国移动云能力中心具有持续服务的能力。

 

ISO27001、ISO27017、ISO27018

ISO27017是基于ISO27001的增强版本,旨在为云服务提供商和云服务客户提供增强的控制能力,从而有助于让云服务与传统信息系统一样安全可靠。本次中国移动云能力中心通过导入ISO27017可以建立强大的安全控制措施来满足云能力中心服务客户的安全要求,云服务信息安全管理水平可处于云服务提供商前列。
 
对于组织和消费者而言,云具有大量优势:比如节省成本、灵活性以及移动访问信息均深受青睐。但云同样也引发人们对数据保护和隐私方面的担忧,尤其是涉及个人可识别信息。ISO27018个人可识别信息(PII)包括任何可用以确定特定用户身份的信息。目前ISO27018标准与ISO27001标准配合使用,可用于支持其基础设施通过标准认证的云服务提供商告知其现有和潜在客户,其数据得到了安全的保护,不会被用于任何其未明确同意的用途,我们在同中国移动云能力中心团队建立基于ISO27018的个人身份信息保护的管理体系,确保个人数据的安全和有效访问。
 
ISO 27017和ISO 27018都是基于ISO27002标准,并针对适用于公有云个人可识别信息(PII)的ISO27002控制体系提供了实施指南。两个标准都是基于ISO27001延伸。
ISO 27017 提出比较多的改变安全控制。
ISO 27018 则是提出比较多新增安全控制。
 
ISO27001因为是基础的规范,所以在进行ISO27017 or ISO27018之前,必须先经过基本的ISO27001认证。
 
基于ISO27001认证基础下,可以额外包含:
ISO27017: 云端对于个人隐私数据的产生、储存、管理、通知、消除、加密、传输等处理;
ISO27018 : 如果公司预计提供云端服务,相关云端维运的安全控制措施;
从客户服务来看,ISO27001是可以获得一个认证,容易得到客户的认可。
从信息安全来看,ISO27017 or ISO27018更偏重于信息安全管制措施。

 

CSA-STAR

CSA-STAR是全球认可的国内最高级别的云安全认证,该认证代表国际权威机构对公有云或私有云安全管理水平以及技术能力的认可。CSA-STAR云安全评估的管控要求极为严格,评估过程采用国际先进的成熟度等级评价模型,涵盖应用和接口安全、审计保证与合规性、业务连续性管理和操作弹性、变更控制和配置管理、数据安全和信息生命周期管理、加密和密钥管理、治理和风险管理、身份识别和访问管理、基础设施和虚拟化安全、安全事件管理、供应链管理、威胁和脆弱性管理等控制域的全方位安全评估。

 

ISO27701

ISO27701源自ISO/IEC 27552,为建立、实现、维护和持续改进隐私信息管理系统 (PIMS) 提供具体要求和指南,令PIMS作为ISO27001中定义的灵活信息安全管理系统 (ISMS) 的扩展,在信息安全的基础上将处理 PII 所需的隐私保护纳入考虑。与 ISO27001标准类似, ISO 27701 不期望组织机构在所有情况下采纳每一条控制。相反,该标准要求组织机构理解自身 PII 处理的具体上下文,以适合其处理活动的方式调整特定控制集和与之相关的实现。
ISO 27701 合规首先要求 ISO27001合规。二者互为补充。遵从 ISO 27701 要求的组织机构会留下其 PII 处理方式的书面证据,可用于推动与商业合作伙伴就 PII 处理问题签订协议,明确该组织机构与其他利益相关者间的 PII 处理方式。尽管 GDPR 尚未确立官方认证方法,近期报告表明,ISO 27701 或可在近期改变这一现状。
为更好地理解新标准,需要弄清两个关键术语:控制者和处理者。这两个术语在很多隐私法律和规定中都能见到,包括 GDPR。通常,“控制者” 是指示为什么要收集和处理 PII 的实体,“处理者” 是代表该控制者负责处理此数据的另一个法律实体(非员工)。
新发布的标准适用于 PII 控制者(及联合控制者)和处理者(包括下级处理者),无论其运营的行业和司法辖区,也包括到 GDPR 和 SO/IEC 29100、ISO/IEC 27018 及 ISO/IEC 29151 安全框架的映射。预计 ISO 27701 要求还将映射到其他隐私法律,如《2018 加州消费者隐私法案》(CCPA)、《金融服务现代化法案》(GLBA) 和《健康保险流通与责任法案》(HIPAA) 等,通过提供通用的合规标准帮助组织机构更好地符合这些监管要求。

 

ISO27040

ISO27040(存储安全实用指南标准)标准采用经过充分验证的一致方法来规划、设计、记录和实施数据存储安全性,为组织如何定义适当的风险缓解水平提供详细的技术指导,是管理数据存储安全的最高执行性标准之一。其存储安全性适用于存储信息的保护(安全性)以及通过与存储相关的通信链路传输的信息的安全性。我们将研究此标准在组织内的数据存储方面的应用与推广,形成相应的可行性报告和落地的计划与步骤。

智联信息同时推出了针对国产化软件的咨询与评估工作,详情请联系:18913106711,400-763-5518。