400-88-27001
service@aryasec.com

关于我们 About Us

上海安言信息技术有限公司(简称安言咨询),成立于2004,是一家专注于信息安全及IT风险管理的咨询服务机构。


从始建之日起,安言咨询即引领国内信息安全及IT风险管理发展之路:最早推出CISSPISO27001信息安全管理等专业培训,最早一家银行企业通过BS7799ISO27001前身)认证,最早一家总行级银行企业全IT条线通过ISO27001认证,最大规模银行数据中心通过ISO27001认证,首家千万级发卡量信用卡机构整体通过ISO27001认证,最早一家电力通信公司通过ISO27001ISO20000双体系认证。

新闻动态 News

14

2019 - 06

TISAX评估过程

这一期,我们将继续为大家介绍“TISAX评估”所需的具体程序步骤~TISAX的评估概述 TISAX评估过程包括几种类型的评估。在大多数情况下,会有多个评估。 可将评估过程视为一系列交错的步骤,其中: 被评估方将准备好信息安全管理系统,使其处于最佳状态。 审查提供者检查您的信息安全管理系统是否满足规定的一组要求,在这期间可能会发现一些差距。 然后,被评估方需要在规定的时间内弥补差距。 最后,审计提供者再次检查您是否弥补了差距。 交替进行这些步骤,直到所有差距都缩小或消失。 TISAX评估要素 每个TISAX评估包括以下要素: 正式开幕会议(正式的开幕会议将仅在初步评估时重点开展。对于其他TISAX评估,您的审计提供商将安排和编制这些会议)(有些审计提供者可能会使用“启动会议”一词,与“正式开幕会议”同义。) 正式开幕会议—— · 旨在涵盖所有组织主题 · 不必是一次实体会议 · 主题可以一次完成,也可以在多个场合交流 · 对于所有组织的预评估主题来说,它是一个“逻辑容器” ...

  • 隐私影响评估指南

    这一期,我们来介绍下ISO / IEC标准29134——隐私影响评估指南 小提示:此项评估指南标准基于ISO29151隐私保护体系中提到的PIA(隐私影响评估),进行了更为详细的展开描述,企业即使不进行认证,也可以参考此项标准开展自评估或委托外部专业机构开展评估。 简述PIA: 隐私影响评估(PIA)是一种评估流程,是评估信息系统,程序,软件模块,设备或其他处理个人身份信息(PII)的活动对隐私的潜在影响的工具,并与利益相关方协商,为治理隐私风险采取必要的行动。PIA报告可能涵盖涉及风险治理措施的标准文件内容,包括因使用ISO/IEC 27001标准中ISMS(信息安全管理体系)而产生的措施。PIA 不仅是一个工具: 它是一个从倡议的最早阶段开始的过程, 在这个阶段仍然有机会影响其结果, 从而通过设计确保隐私。同时PIA更是一个持续到项目部署之时, 甚至在项目部署之后的过程。 执行PIA的好处: - 识别隐私影响,隐私风险和责任; - 为隐私保护设计提供输入(有时称为隐私设计); - 审查新信息系统的隐私风险并评估其影响和可能性; - 为PII负责人提供隐私信息保护依据; ...

  • 个人信息隐私保护国家标准

    这一期,我们将介绍个人信息隐私保护相关标准的另一大块——TC260国家标准。 简述TC260 : 早在2002年4月,国家标准化管理委员会(简称“国标委”)就批复成立了全国信息安全标准化技术委员会(SAC/TC260,简称“信安标委”),负责对网络安全国家标准进行统一技术归口。 近年来为落实《网络安全法》相关个人信息保护要求,2016年起TC260大数据安全标准化工作组开始研究制定个人信息保护国家标准。 现有标准族 如下图: 主要标准介绍: 1 GB/T 35273-2017《信息安全技术 个人信息安全规范》(已发布) 规范了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求。本标准适用于规范各类组织个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。该标准作为细化支撑《网络安全法》相关个人信息保护要求的重要标准,在已有个人信息保护工作中发挥了重要作用,目前该标准针对个人信息保护出现的强迫收集、定向推送等新问题,正在进行修订研究。 2 《信息安全技术 个人信息去标识化指南》...

  • 国际隐私保护相关标准

    众所周知,个人信息隐私保护是每个企业不容忽视的重点,而个人信息隐私保护的相关标准,分为ISO/IEC JTC 1/SC-27-WG5系列国际标准与TC260国家标准两大块,这一期,我们首先介绍一下国际隐私保护相关标准~ 摘要标准介绍重点 国际隐私保护标准化工作,目前已形成包含总体框架、管理要求、实施指南、技术要求的标准体系。其中,关于个人身份信息的释义如下: ·PII——Personally Identifiable Information个人身份信息 ·关于PII的定义:指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 (《网络安全法》第七十六条(五))标准介绍 1.ISO/IEC 29100:2011隐私框架(通用框架类标准) 此标准给出了一个隐私保护的框架,主要的步骤包括:识别PII,隐私防护的要求,隐私策略和隐私控制的确定。该标准的附录A对于隐私的词汇和ISO/IEC27000标准族的词汇进行了对应。由于隐私保护和信息安全存在太多的交叉,因此在ISO/IEC 29100:2011中,关于隐私控制并没有展开,但是标...

客户案例 Cases