全方位ISO信息安全管理體系 一體化分貝通的滿滿“安全感”

為了滿足分貝通業(yè)務(wù)日益增長的云安全、隱私安全需要,分貝通將ISO27017、ISO27018、ISO27701以及CSA-Star納入到先前以ISO27001為指導(dǎo)方針建立的信息安全質(zhì)量管理體系。與此前的三級等保安全認證、ICP認證、UPDSS和PCI-DSS等權(quán)威安全認證一起,建立起了以信息安全管理基礎(chǔ)、云安全、隱私安全和支付安全整合的立體全方位“企業(yè)支出信息安全管理體系”。

本次安全認證,分貝通與全球知名第三方認證機構(gòu)DNV合作,所有認證材料通過中國合格評定國家認可委員會(cnas)和英國皇家認可委員會(ukas)的審核后成功注冊。其認證標準嚴謹,并符合全球絕大多數(shù)國家網(wǎng)絡(luò)安全環(huán)境要求,在國際上享有廣泛認可和信譽。

作為全面掌控企業(yè)支出的一體化平臺,分貝通提供的是覆蓋商務(wù)消費、辦公采購、補助福利、費控報銷、備用金和對公付款的全面能力。因此,也要求分貝通在企業(yè)信息安全、員工個人信息安全和資金安全等多方面,為企業(yè)的支出安全護駕。

 

01

堅實保障

信息安全管理基礎(chǔ)

作為專業(yè)的SaaS云服務(wù)廠商,除基本的信息安全體系認證外,分貝通重視信息安全管理。在分貝通,企業(yè)客戶需要分別進行人員架構(gòu)信息導(dǎo)入、申請單提交、員工下單、企業(yè)支付等全流程企業(yè)支付,這其中涉及層層系統(tǒng)安全防護,要求每一個環(huán)節(jié)能夠達到超安全標準的水平。

ISO27001是以信息資產(chǎn)及業(yè)務(wù)風險管理為核心的管理體系,是當今國際上最權(quán)威、最嚴格,也是最被廣泛接受和應(yīng)用的信息安全領(lǐng)域的體系認證標準。

近年來,云計算等新興 IT 技術(shù)在全球范圍內(nèi)高速增長,同時也帶來了全新的安全威脅。而 ISO27001則是能夠與時俱進的滿足新技術(shù)對于信息安全管理的相關(guān)要求的權(quán)威標準。通過ISO27001認證的企業(yè),例如分貝通,標志著其對安全有一份承諾,并在企業(yè)信息安全管理方面已建立起一套科學有效的管理體系,能夠為客戶提供可靠的信息服務(wù)。

 

02

全面防護

云安全防護升級

其中,ISO27017和CSA-Star安全認證,都是基于ISO27001之上的增強版本。

ISO 27017是由 ISO(國際標準化組織)頒布的國際標準協(xié)議,是專門針對云服務(wù)信息安全的使用標準,為云服務(wù)提供商和云服務(wù)客戶提供特定的安全控制及其實施指南。分貝通基于 ISO 27017標準要求,建立起更完善的云安全管理體系,提升整體云安全服務(wù)能力。

CSA-Star云安全評估是基于國際權(quán)威的非營利組織云安全聯(lián)盟(Cloud Security Alliance)推出的云控制矩陣 CCM(Cloud Control Matrix),滿足云計算安全領(lǐng)域的特定要求,是針對云計算安全特性的一項國際性認證;同時它也是 ISO/IEC 27001信息安全管理體系的增強版本,將云安全的特有問題可視化,為云服務(wù)商的安全管控能力提供了直觀的評估框架。

雙重加碼認證側(cè)面證明了分貝通在云平臺安全、數(shù)據(jù)安全、系統(tǒng)安全、網(wǎng)絡(luò)安全等維度達到了國際公認的安全合規(guī)標準,標志著分貝通在云安全領(lǐng)域達到了業(yè)界領(lǐng)先水平。

 

03

信息保護隱私

安全標準化

在用戶隱私安全不斷被提及的當下,分貝通也正在持續(xù)布局安全保障方案。包括數(shù)據(jù)加密、數(shù)據(jù)備份、訪問控制、安全審計和發(fā)布“個人隱私政策”等方案,以保障用戶的隱私安全。例如在訪問控制上,分貝通支持管理員設(shè)置人員權(quán)限,電子檔案調(diào)取時自動記錄等,將所有的安全工作進行標準化管理。

ISO27018是ISO首個專注于云中個人信息保護的國際行為準則。分貝通從個人信息的生命周期出發(fā)建立保護框架,通過事前-事中-事后加強數(shù)據(jù)保護。事前,根據(jù)具體應(yīng)用場景對個人信息風險進行充分評估,制定相應(yīng)保護策略;事中,限定使用目的與用途,限制數(shù)據(jù)再披露;事后,若加密數(shù)據(jù)遭遇泄露,啟動應(yīng)急預(yù)案,防止危害擴散。

ISO27701則是 ISO27001 和 ISO27002在隱私保護領(lǐng)域的擴展,在建立、實施、維護和持續(xù)改進“隱私安全管理體系”方面提供了指南。ISO27701適用于任何類型和規(guī)模的組織,包括公共、私營公司,政府實體和非營利組織中 ISMS 個人識別信息的處理,以減少服務(wù)客戶企業(yè)中的員工個人隱私權(quán)風險。

分貝通一向以用戶隱私保護為服務(wù)核心,ISO27701所帶來的價值不言而喻,基于云服務(wù)提供商個人數(shù)據(jù)密集的特性,ISO27701為分貝通用戶個人數(shù)據(jù)保護提供了明確的、可實施性強的指引,讓分貝通在隱私保護的標準化和可靠性上得到充分的補充。

作為一體化的企業(yè)支付SaaS平臺,分貝通致力于為企業(yè)客戶構(gòu)建全流程專業(yè)、安全的管理體系。隨著分貝通一體化平臺程度加深,產(chǎn)研團隊也不斷加碼在安全管理方面的標準化管理,以更好的服務(wù)企業(yè)客戶。