• 院内新闻
    INTERNAL NEWS

“众”视信息安全,为安全保驾护航

——我院贯彻信息安全管理体系标准


概念信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management SystemMS)思想和方法在信息安全领域的应用。信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求,制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。

  为强化企业员工信息安全意识,规范企业信息安全行为,预防各类信息安全事故,完善企业信息安全运行机制,保障企业业务开展的连续性与安全性,于2021年7月中下旬,我院接受认证公司对全院信息安全管理体系一阶段和二阶段的审核工作。

  依据GB/T 22080-2016/ISO/IEC27001:2013标准,认证公司审核组针对信息安全管理体系覆盖范围内的城乡规划编制、旅游规划设计、文物保护规划、建筑工程、风景园林工程设计和服务相关的信息安全管理活动,与信息系统有关的活动、系统及支持性系统包含的全部信息资产,以及组织信息安全管理体系的方法与实施进行了多角度、全方位的外部审核。

001.jpg

外部审核集中会议

002.jpg

管理者代表座谈交流


CHAPTER.01——外审覆盖范围、内容与建议

  经过年初企业内审,就院内管理层、职能部门、业务部门的各项信息安全管理活动已进行了全面审查。此次外部审核专家深入了解了我院的基本情况与体系建立,确定体系认证范围和适宜性;了解公司信息安全方针、目标的适宜性和组织角色职责权限分配;查阅公司内审、管理评审的策划与实施;查阅法律法规的识别、收集与遵循;了解控制措施选择与删减的合理性等情况。

  本次外部审核内容更为全面与深入,既覆盖了管理层的信息安全管理体系方针与目标、管理体系运行整体受控情况、信息安全风险评估、风险处理计划等管理层面内容,又覆盖了职能部门的人力资源安全、资产管理安全、信息安全、介质安全、访问控制安全、物理与环境安全、运行安全、通信安全、供应商信息安全、业务连续性管理安全等操作层面内容。

  外审抽检过程中,审核组充分肯定了院内信息安全管理体系的良好运行状况;同时,就网络传输安全、移动介质管理、信息资产分级分类管理、供应商信息安全、员工权限、体系标准宣贯、新员工培训等方面提出了一些改进建议。

003.jpg

004.jpg

部门外审现场


CHAPTER.02——信息安全管理体系外审总结

  信息安全管理体系二阶段的外部审核顺利结束,我院信息安全管理体系运行情况良好,持续向着科学化、制度化、规范化的方向改进和健康发展,信息安全管理体系的建立、实施得到了充分保证,其适宜性、充分性、有效性也得到了显著体现。

  在未来信息安全管理体系运行中,我院将不断改进与完善,牢固树立安全至上、预防为主的理念,对信息安全管理体系的建设、维护和控制持续改进,积极践行企业社会责任。

005.jpg

认证专家组总结审核情况