1、如何建设信息安全管理措施
1、如何建设信息安全管理措施
为什么信息安全管理系统之程序重要?
什么是信息安全?
公司拥有各类的第三方信息,包括知识产权和个人身份信息(Personal Identifiable Information, PII)。这些信息必须得到保护以防止其遗失或被盗窃。信息安全管理系统(Information Security Management System, ISMS)程序旨在识别和保护公司内部和外部信息,并在信息泄露事件发生时检测漏洞并及时应对。
为什么信息安全管理程序重要?
公司 – 不论经营活动 – 都会拥有属于员工、业务合作伙伴和客户的敏感信息。由于信息的价值以及公司对电子资料处理和储存系统的依赖性都愈来愈高,因此所有公司都暴露在信息泄露和黑客入侵的风险中。信息数字化亦为道德不良人士提供了取得这些珍贵资料的机会,使防止信息泄露工作变得困难。信息安全以及信息泄露的经济代价 – 不论是法律诉讼还是罚款 – 都已成为选择商业合作伙伴的重要因素。根据德勤咨询公司的调查,面对未能保护客户信息安全或未能管理信息安全漏洞风险的公司,73%的客户会重新考虑使用其他公司1。根据Ponemon Institute的数据,信息安全漏洞的平均成本(用于支付法律费用和违约后为客户提供的监控服务)为400万美元,这是中小型公司无法承受的2。欧盟最新的《通用数据保护条例(General Data Protection Regulation, GDPR)》允许对未能建立内部控制的公司作出处罚,其金额可近2000万欧元或营业额的4%。
信息泄露会使其利益相关者面临重大财务和个人风险,包括但不限于以下几点:
● 泄露客户个人身份信息可使客户面临身份和财务被盗的风险
● 无法保护客户信息可使政治异议人士面临被起诉的风险
● 泄露业务合作伙伴(包括供应链合作伙伴)的知识产权和其他重要商业机密可威胁到其业务运营并使整个供应链受到干扰
建立有效的信息安全管理系统程序