400-88-27001
service@aryasec.com

关于我们 About Us

上海安言信息技术有限公司(简称安言咨询),成立于2004,是一家专注于信息安全及IT风险管理的咨询服务机构。


从始建之日起,安言咨询即引领国内信息安全及IT风险管理发展之路:最早推出CISSPISO27001信息安全管理等专业培训,最早一家银行企业通过BS7799ISO27001前身)认证,最早一家总行级银行企业全IT条线通过ISO27001认证,最大规模银行数据中心通过ISO27001认证,首家千万级发卡量信用卡机构整体通过ISO27001认证,最早一家电力通信公司通过ISO27001ISO20000双体系认证。

新闻动态 News

12

2019 - 07

TISAX之原型保护的考虑与设计

TISAX评估内容主要分为四个模块:信息安全、原型保护、与第三方的连接安全、数据保护。当进行TISAX评估的企业产品涉及原型时,按照评估目标要求会增加原型保护模块。原型保护中的保护要求是针对汽车原型样件(试生产件)而设计的,TISAX中所指的原型样件包括但不限于汽车外壳、电池、轮胎等部件或零件甚至是汽车整车,因此要进行原型保护的设计。 在进行原型保护设计前,需首先明确企业产品涉及的原型样件具体内容,再针对原型的研发、试制、测试、存放保存、运输、销毁全生命周期的不同阶段提出原型相应的保护措施。 企业原型保护主要包括以下三点: 1.物理和环境安全 企业原型样件需存放于安全、可靠的区域,安装视频监控、周界报警装置等,以避免原型样件遭遇丢失、损毁。 2.组织需求 任何参与原型研发、试制、测试及存放运输的员工需对原型信息进行保密并签署保密协议,企业需制定详细的访问控制管理制度对外来访问人员进行管理,严格控制非授权人员携带摄影设备进入保存原型的区域或通过其他途径获得原型图像。 3.处理原型 在原型的试制阶段,企业需要按照制度要求对访...

  • 中央网信办、工信部推动APP安全认证

    近年来,层出不穷、规模越来越大的个人信息泄露事件推动了国家出台数据安全保护法案,如GB/T 35273-2017《信息安全技术 个人信息安全规范》征求意见稿。 工业和信息化部办公厅于六月底开始为期一年的《电信和互联网行业提升网络数据安全保护能力专项行动方案》(以下简称专项行动),以提升电信和互联网行业的网络数据安全,打击数据过度采集滥用、非法交易,防止用户数据泄露,加快推动构建行业网络数据安全综合保障体系。近日,工业和信息化部发布了2019年第一季度电信服务质量通告。通告显示,工信部已对50家手机应用商店的应用软件进行技术检测,发现违规软件33款,涉及违规收集使用用户个人信息、强行捆绑推广其他应用软件等问题,已对违规软件进行下架处理,并责令企业整改。 工信部此次的专项行动旨在重点开展合规性评估和深化APP违法违规专项治理,持续推进App违法违规收集使用个人信息专项治理行动,组织第三方评测机构开展App安全滚动式评测,对在网络数据安全和用户信息保护方面存在违法违规行为的App及时进行下架和公开曝光。同时,创新工作模式,引导鼓励第三方机构开展App数据安全管理认证,探索推动应用商店等明确标识并优先推荐通过...

  • 国家标准《信息安全技术 个人信息安全规范》征求意见稿全文正式发布

    自《网络安全法》2017年6月1日生效以来,有关加强个人信息保护的内容引发了社会各界的广泛关注。但由于立法层面相对较为原则化,也给诸多企业的个人信息保护合规工作带来了较大的困扰。6月25日,全国信息安全标准化技术委员会发布了关于征求《信息安全技术 个人信息安全规范》国家标准意见的通知。 国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》,作为我国个人信息保护的风向标,作为基于网安法中个人信息安全内容所延伸出的具体规范,对企业收集、使用、共享个人信息等行为、个人信息安全事件处理以及组织的管理等提出了较为详细、明确的指引和参考,其附录C和D也对企业在保障个人信息主体选择权以及制定隐私政策等方面提供了相应的模板,对企业的合规工作具有较高的参考价值,值得特别关注。(以下简称《个人信息安全规范》) 对企业的法律效力 一方面, 《个人信息安全规范》可因企业自愿遵守而产生约束力。根据《国务院办公厅关于印发国家标准化体系建设发展规划 (2016-2020年) 的通知》, 国家标准体系建设遵循“强制性标准守底线、推荐性标准保基本、企业标准强质量的原则”。作为个人信息安全方面的基本通用规范,《个人...

  • 解说数据安全治理

    为什么要进行数据治理? 外部环境: 1. 美国去年大概发生了1800起重大数据泄漏事件,医疗行业是重灾区,每条记录成本在408美元,其次是金融行业每条成本是206美元。 2. 2019年第十三届全国人大二次会议提出:要尽快制定落实《中华人民共和国数据安全法》 政策法规要求: 1. 银保监会印发了《银行业金融机构数据治理指引》,要求银行业金融机构将监管数据纳入数据治理,建立工作机制和流程,确保监管数据报送工作有效组织开展,监管数据质量持续提升。 2. 指引提出,银行业金融机构董事会应当制定数据战略,审批或授权审批与数据治理相关的重大事项,督促高级管理层提升数据治理有效性,对数据治理承担最终责任。银行业金融机构应当确定并授权归口管理部门牵头负责实施数据治理体系建设,协调落实数据管理运行机制,组织推动数据在经营管理流程中发挥作用,负责监管数据相关工作,设置监管数据相关工作专职岗位。 数据治理相关标准可参考《银行业金融机构数据治理指引》、《数据资产管理实践白皮书》、《证券期货业数据安全标准规划》、《证券期货业数据分类分级指引》等。 ...

客户案例 Cases