全方位ISO信息安全管理體系 一體化分貝通的滿滿“安全感”

為了滿足分貝通業(yè)務(wù)日益增長的云安全、隱私安全需要,分貝通將ISO27017、ISO27018、ISO27701以及CSA-Star納入到先前以ISO27001為指導(dǎo)方針建立的信息安全質(zhì)量管理體系。與此前的三級等保安全認(rèn)證、ICP認(rèn)證、UPDSS和PCI-DSS等權(quán)威安全認(rèn)證一起,建立起了以信息安全管理基礎(chǔ)、云安全、隱私安全和支付安全整合的立體全方位“企業(yè)支出信息安全管理體系”。

本次安全認(rèn)證,分貝通與全球知名第三方認(rèn)證機(jī)構(gòu)DNV合作,所有認(rèn)證材料通過中國合格評定國家認(rèn)可委員會(cnas)和英國皇家認(rèn)可委員會(ukas)的審核后成功注冊。其認(rèn)證標(biāo)準(zhǔn)嚴(yán)謹(jǐn),并符合全球絕大多數(shù)國家網(wǎng)絡(luò)安全環(huán)境要求,在國際上享有廣泛認(rèn)可和信譽(yù)。

作為全面掌控企業(yè)支出的一體化平臺,分貝通提供的是覆蓋商務(wù)消費、辦公采購、補(bǔ)助福利、費控報銷、備用金和對公付款的全面能力。因此,也要求分貝通在企業(yè)信息安全、員工個人信息安全和資金安全等多方面,為企業(yè)的支出安全護(hù)駕。

 

01

堅實保障

信息安全管理基礎(chǔ)

作為專業(yè)的SaaS云服務(wù)廠商,除基本的信息安全體系認(rèn)證外,分貝通重視信息安全管理。在分貝通,企業(yè)客戶需要分別進(jìn)行人員架構(gòu)信息導(dǎo)入、申請單提交、員工下單、企業(yè)支付等全流程企業(yè)支付,這其中涉及層層系統(tǒng)安全防護(hù),要求每一個環(huán)節(jié)能夠達(dá)到超安全標(biāo)準(zhǔn)的水平。

ISO27001是以信息資產(chǎn)及業(yè)務(wù)風(fēng)險管理為核心的管理體系,是當(dāng)今國際上最權(quán)威、最嚴(yán)格,也是最被廣泛接受和應(yīng)用的信息安全領(lǐng)域的體系認(rèn)證標(biāo)準(zhǔn)。

近年來,云計算等新興 IT 技術(shù)在全球范圍內(nèi)高速增長,同時也帶來了全新的安全威脅。而 ISO27001則是能夠與時俱進(jìn)的滿足新技術(shù)對于信息安全管理的相關(guān)要求的權(quán)威標(biāo)準(zhǔn)。通過ISO27001認(rèn)證的企業(yè),例如分貝通,標(biāo)志著其對安全有一份承諾,并在企業(yè)信息安全管理方面已建立起一套科學(xué)有效的管理體系,能夠為客戶提供可靠的信息服務(wù)。

 

02

全面防護(hù)

云安全防護(hù)升級

其中,ISO27017和CSA-Star安全認(rèn)證,都是基于ISO27001之上的增強(qiáng)版本。

ISO 27017是由 ISO(國際標(biāo)準(zhǔn)化組織)頒布的國際標(biāo)準(zhǔn)協(xié)議,是專門針對云服務(wù)信息安全的使用標(biāo)準(zhǔn),為云服務(wù)提供商和云服務(wù)客戶提供特定的安全控制及其實施指南。分貝通基于 ISO 27017標(biāo)準(zhǔn)要求,建立起更完善的云安全管理體系,提升整體云安全服務(wù)能力。

CSA-Star云安全評估是基于國際權(quán)威的非營利組織云安全聯(lián)盟(Cloud Security Alliance)推出的云控制矩陣 CCM(Cloud Control Matrix),滿足云計算安全領(lǐng)域的特定要求,是針對云計算安全特性的一項國際性認(rèn)證;同時它也是 ISO/IEC 27001信息安全管理體系的增強(qiáng)版本,將云安全的特有問題可視化,為云服務(wù)商的安全管控能力提供了直觀的評估框架。

雙重加碼認(rèn)證側(cè)面證明了分貝通在云平臺安全、數(shù)據(jù)安全、系統(tǒng)安全、網(wǎng)絡(luò)安全等維度達(dá)到了國際公認(rèn)的安全合規(guī)標(biāo)準(zhǔn),標(biāo)志著分貝通在云安全領(lǐng)域達(dá)到了業(yè)界領(lǐng)先水平。

 

03

信息保護(hù)隱私

安全標(biāo)準(zhǔn)化

在用戶隱私安全不斷被提及的當(dāng)下,分貝通也正在持續(xù)布局安全保障方案。包括數(shù)據(jù)加密、數(shù)據(jù)備份、訪問控制、安全審計和發(fā)布“個人隱私政策”等方案,以保障用戶的隱私安全。例如在訪問控制上,分貝通支持管理員設(shè)置人員權(quán)限,電子檔案調(diào)取時自動記錄等,將所有的安全工作進(jìn)行標(biāo)準(zhǔn)化管理。

ISO27018是ISO首個專注于云中個人信息保護(hù)的國際行為準(zhǔn)則。分貝通從個人信息的生命周期出發(fā)建立保護(hù)框架,通過事前-事中-事后加強(qiáng)數(shù)據(jù)保護(hù)。事前,根據(jù)具體應(yīng)用場景對個人信息風(fēng)險進(jìn)行充分評估,制定相應(yīng)保護(hù)策略;事中,限定使用目的與用途,限制數(shù)據(jù)再披露;事后,若加密數(shù)據(jù)遭遇泄露,啟動應(yīng)急預(yù)案,防止危害擴(kuò)散。

ISO27701則是 ISO27001 和 ISO27002在隱私保護(hù)領(lǐng)域的擴(kuò)展,在建立、實施、維護(hù)和持續(xù)改進(jìn)“隱私安全管理體系”方面提供了指南。ISO27701適用于任何類型和規(guī)模的組織,包括公共、私營公司,政府實體和非營利組織中 ISMS 個人識別信息的處理,以減少服務(wù)客戶企業(yè)中的員工個人隱私權(quán)風(fēng)險。

分貝通一向以用戶隱私保護(hù)為服務(wù)核心,ISO27701所帶來的價值不言而喻,基于云服務(wù)提供商個人數(shù)據(jù)密集的特性,ISO27701為分貝通用戶個人數(shù)據(jù)保護(hù)提供了明確的、可實施性強(qiáng)的指引,讓分貝通在隱私保護(hù)的標(biāo)準(zhǔn)化和可靠性上得到充分的補(bǔ)充。

作為一體化的企業(yè)支付SaaS平臺,分貝通致力于為企業(yè)客戶構(gòu)建全流程專業(yè)、安全的管理體系。隨著分貝通一體化平臺程度加深,產(chǎn)研團(tuán)隊也不斷加碼在安全管理方面的標(biāo)準(zhǔn)化管理,以更好的服務(wù)企業(yè)客戶。