400-88-27001
service@aryasec.com

关于我们 About Us

上海安言信息技术有限公司(简称安言咨询),成立于2004,是一家专注于信息安全及IT风险管理的咨询服务机构。


从始建之日起,安言咨询即引领国内信息安全及IT风险管理发展之路:最早推出CISSPISO27001信息安全管理等专业培训,最早一家银行企业通过BS7799ISO27001前身)认证,最早一家总行级银行企业全IT条线通过ISO27001认证,最大规模银行数据中心通过ISO27001认证,首家千万级发卡量信用卡机构整体通过ISO27001认证,最早一家电力通信公司通过ISO27001ISO20000双体系认证。

新闻动态 News

17

2019 - 05

重磅,等保2.0时代来了!你需要了解的都在这里

2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,网络安全等级保护技术2.0版本(等保2.0)相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,将于2019年12月1日开始实施。小贴士 网络安全等级保护——我国信息安全保障的基本制度,是网络空间安全保障体系的重要支撑。等保2.0在技术上除了继续关注传统网络系统,重点对云计算、移动互联、物联网、工业控制以及大数据安全等进行全面安全防护,确保关键信息基础设施安全。为什么要做等级保护? 等保2.0标准的最高国家政策是网络安全法。 《网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条明确了,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门给予处罚。 也就是说,不开展等级保护等于违法!等保1.0到2.0不仅仅是制...

  • 聚焦TISAX评估的主要内容

    基于VDA ISA的评估 虽然VDA ISA基于ISO/IEC标准27001,但您无需根据该标准进行认证,即可通过TISAX评估。 若组织已依据ISO27001建立ISMS并有效运行,将为TISAX相关要求的落实提供坚实基础。 VDA ISA目前包含四个“标准目录”( VDA ISA也将标准目录称为“模块”)。 其中核心的标准目录是“信息安全”。 本标准目录中的问题是所有TISAX评估的强制性问题。目录如下: 信息安全、与第三方连接的安全、原型保护、数据保护。信息安全 其中,信息安全模块包含了如下14个控制域的内容,也就是说,"信息安全" 包括基于标准 ISO/IEC 27001 的所有基本控件。与第三方连接的安全(存在与客户方网络连接时,适用的附加要求) 此模块评估实施包含以下四大方向: 对员工的信息安全意识培训; 员工访问权限的注册、修改、删除管理流程; 安全区域管理; 网络隔离。原型保护(业务涉及原型时的附加要求) 也就是说,"原型保护" 模块包含对车辆原型保护的物理和组织要求, 并适用于组织处理车辆原型的地方。 ...

  • TISAX三步流程

    有些企业可能会考虑将TISAX认证作为同行竞争中先发制人的手段。 有些企业这样做是为将来的业务做好充分准备。 已经接受TISAX评估意味着比尚未接受评估的企业投入合作所需的时间要短得多,因此如果您已完成TISAX评估,会使您比尚未接受TISAX评估的竞争对手更具优势。 TISAX认证通常始于企业根据“VDA信息安全评估”(VDA ISA)的要求,证明企业自身是定义的信息安全管理级别的合作伙伴之一。 为了满足这一要求,企业必须完成如下三步TISAX流程。 注意 TISAX流程的总持续时间取决于许多的因素。各公司规模、评估目标和信息安全管理系统的准备程度的巨大差异,使得得到TISAX评估结果的时长无法可靠预测。 但是,TISAX规定整个TISAX评估过程的最长持续时间为9个月。 Step 1. 注册 第一步是注册,通过登陆ENX门户网站进行TISAX注册,其主要目的是收集有关贵公司的信息以及评估中需要包含的内容。 ENX门户网站将使用在线注册流程帮助您向ENX协会提供此信息。 注册是所有后续步骤的先决条件。(注册是收费的) 在线注册过程中: a)门户网站...

  • 基于ISO29151个人隐私保护体系建设的简介

    释义ISO组织针对PII(个人隐私信息)保护制定ISO29151标准 其中,个人身份信息的定义如下 PII——Personally Identifiable Information个人身份信息; 关于PII的定义:指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。(《网络安全法》第七十六条(五)。而ISO29151标准由标准正文及附录A组成ISO27002与ISO29151项目实施依据 以ISO29151为基本依据,结合ISO27002中的各类控制措施实施指南,建立基于PDCA持续改进机制的个人隐私保护体系。整体建设思路 结合ISO29151标准要求,当组织或项目涉及以下情景时,需要PIA(隐私影响评估)的执行: •开发或处理PII的信息系统进行重大改变时,应该进行PIA; •任何新项目的启动都应触发阈值分析,以确定是否需要进行PIA; •进行涉及PII资产和处理PII的所有系统的资产清单的建立、维护和更新时,需要参考PIA报告; •开发和维护库存时,需要从PIAS中提取关于信息系统处理PII的信息元素; ...

客户案例 Cases