400-88-27001
service@aryasec.com

关于我们 About Us

上海安言信息技术有限公司(简称安言咨询),成立于2004,是一家专注于信息安全及IT风险管理的咨询服务机构。


从始建之日起,安言咨询即引领国内信息安全及IT风险管理发展之路:最早推出CISSPISO27001信息安全管理等专业培训,最早一家银行企业通过BS7799ISO27001前身)认证,最早一家总行级银行企业全IT条线通过ISO27001认证,最大规模银行数据中心通过ISO27001认证,首家千万级发卡量信用卡机构整体通过ISO27001认证,最早一家电力通信公司通过ISO27001ISO20000双体系认证。

新闻动态 News

25

2020 - 07

安言咨询-企业数据安全合规依据专题

网络危险日益严峻,企业对数据安全的责任已不仅是用户的口诛笔伐,一场严重的数据泄密事故,可能会严重影响企业的业务开展,还可能面临高额处罚。如今,数据安全风险直接关乎企业业务风险。可以说,一旦企业遭受数据泄密,其整体业务势必遭受影响,包括业务开展、经济损失(包括罚款、事件响应及修复成本、业务中断损失、客户补偿等)和企业名誉损失等。1. 企业数据安全的普遍问题图1.企业数据安全普遍问题2. 企业数据安全工作依据需要符合的法律法规: • 网络安全法; • 网络安全等级保护基本要求; • App违法违规收集使用个人信息行为认定方法;可参照的国家标准: • GB/T 35273-2020 个人信息安全规范;《规范》规定了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求;《规范》对组织收集、保存、使用个人信息的方法以及个人访问、更正、删除自身个人信息的方法做出了规定。• GB/Z 28828-2012 信息安全技术公共及商用服务信息系统个人信息保护指南;标准明确要求,处理个人信息应有特定、明确和合理的目的,并在个人信息主体知情的情况下获得个人信息主体的同意,在达成个人信息使用目的之后删除个人信息。标准...

  • 金融信息管理趋严——金融数据安全定级方法专题

    随着信息技术的发展,众多银行基础业务、核心流程、行业间往来事务活动等均在信息化支撑载体上运行,数据逐步实现了从信息化资产到生产要素的转变,其重要性日益突出。金融数据复杂多样,对数据实施分级管理,能够进一步明确数据保护对象,有助于金融机构合理分配数据保护资源和成本。1、数据安全工作的意义图1.数据安全工作意义2、数据安全影响评估要素(一) 保密性应考虑数据未经授权的披露或被未经授权对象获取,并进行窃密、篡改、销毁等攻击后,可能对机构运作、机构资产或客户权益造成的损害。(二) 完整性应考虑数据未经授权修改或损毁,可能对机构职能、公信力、客户及其他组织和社会公众造成的损害。(三) 可用性 应考虑数据的访问或使用中断,可能对行业、机构、公信力和客户等造成的损害。3、数据安全定级原则实施数据分级管理可以使金融机构制定有针对性的数据安全管控措施。 数据安全定级应遵循以下原则:图2.数据安全定级原则4、定级流程金融数据安全定级流程如下:图3.数据定级流程安言咨询数据安全治理服务能够为客户实现数据安全合规、数据安全治理、数据安全管理及技术控制措施,提高客户的数据安全能力及行业公信力。更多相关业务与内容,请持续...

  • 安言咨询-受邀录制《创赢未来》之“第五空间”守卫者——网络信息安全技术应用主题分享节目

    (图右六:安言咨询总经理秦峰) 7月12日,安言咨询总经理秦峰以智囊团身份受邀参加《创赢未来》之“第五空间”守卫者——网络信息安全技术应用主题分享节目录制。 进入二十一世纪后,在我国网络安全形势越来越严峻和复杂的情况下,日新月异的信息技术发展迅速,信息技术产品和服务形式越来越多样化。因此重视网络安全管理标准建设工作,明确国家网络安全保障工作重点等也就变得十分迫切,作为“第五空间”守卫者,这也将为我国全面提升网络安全管理能力和水平奠定理论和技术基础。 安言咨询在信息安全风险管理、技术与服务的经验基础上,结合企业内生需求与行业发展的规律趋势,本着“以安全风险管理为核心、以信息安全需求为导向、以科技创新为动力、为企业创造安全价值”的业务和服务宗旨。基于自身充分而完备的网络安全体系、风险咨询和安全技术服务体系,将国家(地区)政策法规、国际相关标准和行业最佳实践恰当引入,同时结合国内、外行业监管(工信部、公安部、金融监管、人民银行、银保监会、证监会等各行业主管单位)协助客户建立符合业务、监管和风险管理所需要的IT管理及安全风险运营体系,提升其IT内控治理、信息科技风险管理和合规管理的核心能力。 更多相关业...

  • 安言咨询-PII的定义以及PII的角色说明

    几乎每个组织都会处理个人识别信息(PII)。而且,处理的PII的数量和种类正在增加,组织在PII处理方面需要与其他组织合作的情况也在增加。在PII处理过程中的隐私保护是一种社会需求,也是全世界立法和监管关注的重点。一. 何为个人识别信息可定位到个人的信息称为个人可识别信息(PII),要被认为是PII,信息必须特定地与某个人相关联,如姓名、身份证号、银行卡号、家庭住址等。 每次网购时,开始界面总会推送一些我们这段时间比较感兴趣或浏览过的相似物品,大家有没有好奇为什么商家总是能“精准打击”呢?因为在我们的手机里存在一个IMEI码,这个码是每个人独有的,网购APP就是以IMEI进行个人兴趣的识别和定位,IMEI也是属于个人可识别信息。二. 个人信息、个人可识别信息及隐私信息之间的区别个人可识别信息包含在个人信息中,单独的个人信息,如:个人上网信息,个人消费信息等不能精确定位到个人,以下以GB/T 35273中的表A.1进行举例区分。隐私信息在中国并没有明确区分,《民法典》给出的隐私定义为:“私人生活安宁”,也包含“不愿让他人知晓的私密空间”、“私密活动”、“私密信息”。三. ISO/IEC 27701对PII的要求ISO/IEC 27701重点讨论了PIMS特定...

客户案例 Cases