全方位ISO信息安全管理體系 一體化分貝通的滿滿“安全感”

為了滿足分貝通業(yè)務(wù)日益增長(zhǎng)的云安全、隱私安全需要,分貝通將ISO27017、ISO27018、ISO27701以及CSA-Star納入到先前以ISO27001為指導(dǎo)方針建立的信息安全質(zhì)量管理體系。與此前的三級(jí)等保安全認(rèn)證、ICP認(rèn)證、UPDSS和PCI-DSS等權(quán)威安全認(rèn)證一起,建立起了以信息安全管理基礎(chǔ)、云安全、隱私安全和支付安全整合的立體全方位“企業(yè)支出信息安全管理體系”。

本次安全認(rèn)證,分貝通與全球知名第三方認(rèn)證機(jī)構(gòu)DNV合作,所有認(rèn)證材料通過(guò)中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)(cnas)和英國(guó)皇家認(rèn)可委員會(huì)(ukas)的審核后成功注冊(cè)。其認(rèn)證標(biāo)準(zhǔn)嚴(yán)謹(jǐn),并符合全球絕大多數(shù)國(guó)家網(wǎng)絡(luò)安全環(huán)境要求,在國(guó)際上享有廣泛認(rèn)可和信譽(yù)。

作為全面掌控企業(yè)支出的一體化平臺(tái),分貝通提供的是覆蓋商務(wù)消費(fèi)、辦公采購(gòu)、補(bǔ)助福利、費(fèi)控報(bào)銷(xiāo)、備用金和對(duì)公付款的全面能力。因此,也要求分貝通在企業(yè)信息安全、員工個(gè)人信息安全和資金安全等多方面,為企業(yè)的支出安全護(hù)駕。

 

01

堅(jiān)實(shí)保障

信息安全管理基礎(chǔ)

作為專(zhuān)業(yè)的SaaS云服務(wù)廠商,除基本的信息安全體系認(rèn)證外,分貝通重視信息安全管理。在分貝通,企業(yè)客戶需要分別進(jìn)行人員架構(gòu)信息導(dǎo)入、申請(qǐng)單提交、員工下單、企業(yè)支付等全流程企業(yè)支付,這其中涉及層層系統(tǒng)安全防護(hù),要求每一個(gè)環(huán)節(jié)能夠達(dá)到超安全標(biāo)準(zhǔn)的水平。

ISO27001是以信息資產(chǎn)及業(yè)務(wù)風(fēng)險(xiǎn)管理為核心的管理體系,是當(dāng)今國(guó)際上最權(quán)威、最嚴(yán)格,也是最被廣泛接受和應(yīng)用的信息安全領(lǐng)域的體系認(rèn)證標(biāo)準(zhǔn)。

近年來(lái),云計(jì)算等新興 IT 技術(shù)在全球范圍內(nèi)高速增長(zhǎng),同時(shí)也帶來(lái)了全新的安全威脅。而 ISO27001則是能夠與時(shí)俱進(jìn)的滿足新技術(shù)對(duì)于信息安全管理的相關(guān)要求的權(quán)威標(biāo)準(zhǔn)。通過(guò)ISO27001認(rèn)證的企業(yè),例如分貝通,標(biāo)志著其對(duì)安全有一份承諾,并在企業(yè)信息安全管理方面已建立起一套科學(xué)有效的管理體系,能夠?yàn)榭蛻籼峁┛煽康男畔⒎?wù)。

 

02

全面防護(hù)

云安全防護(hù)升級(jí)

其中,ISO27017和CSA-Star安全認(rèn)證,都是基于ISO27001之上的增強(qiáng)版本。

ISO 27017是由 ISO(國(guó)際標(biāo)準(zhǔn)化組織)頒布的國(guó)際標(biāo)準(zhǔn)協(xié)議,是專(zhuān)門(mén)針對(duì)云服務(wù)信息安全的使用標(biāo)準(zhǔn),為云服務(wù)提供商和云服務(wù)客戶提供特定的安全控制及其實(shí)施指南。分貝通基于 ISO 27017標(biāo)準(zhǔn)要求,建立起更完善的云安全管理體系,提升整體云安全服務(wù)能力。

CSA-Star云安全評(píng)估是基于國(guó)際權(quán)威的非營(yíng)利組織云安全聯(lián)盟(Cloud Security Alliance)推出的云控制矩陣 CCM(Cloud Control Matrix),滿足云計(jì)算安全領(lǐng)域的特定要求,是針對(duì)云計(jì)算安全特性的一項(xiàng)國(guó)際性認(rèn)證;同時(shí)它也是 ISO/IEC 27001信息安全管理體系的增強(qiáng)版本,將云安全的特有問(wèn)題可視化,為云服務(wù)商的安全管控能力提供了直觀的評(píng)估框架。

雙重加碼認(rèn)證側(cè)面證明了分貝通在云平臺(tái)安全、數(shù)據(jù)安全、系統(tǒng)安全、網(wǎng)絡(luò)安全等維度達(dá)到了國(guó)際公認(rèn)的安全合規(guī)標(biāo)準(zhǔn),標(biāo)志著分貝通在云安全領(lǐng)域達(dá)到了業(yè)界領(lǐng)先水平。

 

03

信息保護(hù)隱私

安全標(biāo)準(zhǔn)化

在用戶隱私安全不斷被提及的當(dāng)下,分貝通也正在持續(xù)布局安全保障方案。包括數(shù)據(jù)加密、數(shù)據(jù)備份、訪問(wèn)控制、安全審計(jì)和發(fā)布“個(gè)人隱私政策”等方案,以保障用戶的隱私安全。例如在訪問(wèn)控制上,分貝通支持管理員設(shè)置人員權(quán)限,電子檔案調(diào)取時(shí)自動(dòng)記錄等,將所有的安全工作進(jìn)行標(biāo)準(zhǔn)化管理。

ISO27018是ISO首個(gè)專(zhuān)注于云中個(gè)人信息保護(hù)的國(guó)際行為準(zhǔn)則。分貝通從個(gè)人信息的生命周期出發(fā)建立保護(hù)框架,通過(guò)事前-事中-事后加強(qiáng)數(shù)據(jù)保護(hù)。事前,根據(jù)具體應(yīng)用場(chǎng)景對(duì)個(gè)人信息風(fēng)險(xiǎn)進(jìn)行充分評(píng)估,制定相應(yīng)保護(hù)策略;事中,限定使用目的與用途,限制數(shù)據(jù)再披露;事后,若加密數(shù)據(jù)遭遇泄露,啟動(dòng)應(yīng)急預(yù)案,防止危害擴(kuò)散。

ISO27701則是 ISO27001 和 ISO27002在隱私保護(hù)領(lǐng)域的擴(kuò)展,在建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)“隱私安全管理體系”方面提供了指南。ISO27701適用于任何類(lèi)型和規(guī)模的組織,包括公共、私營(yíng)公司,政府實(shí)體和非營(yíng)利組織中 ISMS 個(gè)人識(shí)別信息的處理,以減少服務(wù)客戶企業(yè)中的員工個(gè)人隱私權(quán)風(fēng)險(xiǎn)。

分貝通一向以用戶隱私保護(hù)為服務(wù)核心,ISO27701所帶來(lái)的價(jià)值不言而喻,基于云服務(wù)提供商個(gè)人數(shù)據(jù)密集的特性,ISO27701為分貝通用戶個(gè)人數(shù)據(jù)保護(hù)提供了明確的、可實(shí)施性強(qiáng)的指引,讓分貝通在隱私保護(hù)的標(biāo)準(zhǔn)化和可靠性上得到充分的補(bǔ)充。

作為一體化的企業(yè)支付SaaS平臺(tái),分貝通致力于為企業(yè)客戶構(gòu)建全流程專(zhuān)業(yè)、安全的管理體系。隨著分貝通一體化平臺(tái)程度加深,產(chǎn)研團(tuán)隊(duì)也不斷加碼在安全管理方面的標(biāo)準(zhǔn)化管理,以更好的服務(wù)企業(yè)客戶。