五大安全治理规范

时间：2021-12-31作者：中泰智联（北京）认证中心有限公司长春分公司浏览：176

 一、经济合作和发展组织，《信息系统安全指南》（1992） 

     《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。美国、OECD的其他23个成员国，以 及十几个非OECD成员国家都批准了这一指南。该指南旨在提高信息系统风险意识和安全措施，提供一个一般性的框架以辅助信息系统 安全度量方法、操作流程和实践的制定和实施，鼓励关心信息系统安全的公共和私有部门间的合作，促进人们对信息系统的信心，促 进人们应用和使用信息系统，方便国家间和国际间信息系统的开发、使用和安全防护。这个框架包括法律、行动准则、技术评估、管 理和用户实践，及公众教育或宣传。该指南目的是作为**、公众和私有部门的成员，通过此成员测量进展。 

     二、国际会计师联合会，《信息安全管理》（1998） 

     信息安全目标是“保护依靠信息 、信息系统和传送信息的人、通信设施的利益不因为信息机密性、完整性和可用性的故障而遭受损失”。任何组织在满足三条准 则时可认为达到信息安全目标:数据和信息只透露给有权知道该数据和信息的人（机密性）;数据和信息保护不受未经授权的修改（完 整性）;信息系统在需要时可用和有用（可用性）。机密性、完整性和可用性之间的相对**级和重要性根据信息系统中的信息和使用 信息的商业环境而不同。 信息安全因急速增长的事故和风险种类而日益重要。对信息系统的威胁既有可能来自有意或无意的行动，也 可能来自内部或外部。信息安全事故的发生可能是因为技术方面的因素、自然灾害、环境方面、人的因素、非法访问或病毒。另外， 业务依赖性（依靠第三方通信设施传送信息，外包业务等等）也可能潜在地导致管理控制的失效和监督不力。 

     三、国际标准化组织，《ISO 17799国际标准》（较新版是2005） 

     ISO17799（根据BS 7799**部分制定）作为确定控制范围的单一参考点， 在大多数情况下，这些控制是使用业务信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产，像其他重要商业资 产一样，这种资产对组织有价值，因此需要恰当保护它。ISO 17799认为信息安全有下列特征:机密性，确保信息只被相应的授权用户 访问;完整性，保护信息和处理信息程序的准确性和完整性;可用性，确保授权用户在需要时能够访问信息和相关资产。信息安全保护 信息不受广泛威胁的损毁，确保业务连续性，将商业损失降至较小，使投资收益较大并抓住各种商业机遇。安全是通过实施一套恰当 的控制措施实现的。该控制措施由策略、实践、程序、组织结构和软件组成。 

     四、信息系统审计和控制 协会，《信息和相关技术的控制目标》（CoBIT） 

     CoBIT起源于IT需要传递组织为达到业务目标所需 的信息这个前提，至今已有三个版本。除了鼓励以业务流程为中心，实行业务流程负责制外，CoBIT还考虑到组织对信用、质量和安全 的需要，它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、机密性、可靠性和一致性。CoBIT进 一步把IT分成4个领域（计划和组织，获取和实施，交付和支持，监控），共计34个IT业务流程。CoBIT为正在寻求控制实施较佳实践 的管理者和IT实施人员提供了**过300个详细的控制目标，以及建立在这些目标上的广泛的行动指南。COBIT框架通过联结业务风险、 控制需要和技术手段来帮助满足管理当局多样化的需求。它提供了通过一个范围和过程框架的较佳惯例，以形成一个可控和逻辑结构 内的活动。 

     五、美国注册会计师协会(加拿大特许会计师协会)，《SysTrust TM系统可靠性原理和准则 V20》（2001） 

     SysTrust服务是一种保证服务，用于增强管理者、客户和商业伙伴对支持业务或某 种特别活动的系统的信任。SysTrust服务授权注册会计师承担的保证服务包括:注册会计师从可用性、安全性、完整性和可维护性四个 基本方面评估和测试系统是否可靠。 

     SysTrust定义在特定环境下及特定时期内，没有重大错误、缺 陷或故障地运行的系统为可靠系统。系统界限由系统所有者确定，但必须包括基础设施、软件、人、程序和数据这几个关键部分。 SysTrust的框架可升级，企业能够灵活选择SysTrust标准的任何部分或全部来验证系统的可靠性。对系统四个标准的判断组成对系统 整体可靠性的判断。注册会计师也能单独判断某一标准如可用性或安全性的可靠性状况。但是这种判断仅仅对特定标准的可靠性做出 判断，不是对系统整体可靠性的判断。


中泰智联（北京）认证中心有限公司长春分公司专注于ISO9001质量管理体系认证,ISO14001环境管理体系认证,ISO45001职业健康安全管理体系认证,IATF16949认证,GB/T27922售后服务认证,GB/T27925品牌认证,GB/T31950诚信管理体系认证,ISO39001道路交通安全管理体系认证,ISO22301业务连续性管理体系认证,GB/T35770合规管理体系认证等

• 词条

  词条说明

• Spc：成功实施SPC的因素

  因素1：实施计划“凡事预则立，不预则废”。计划对于任何事情都有着不可忽视的作用。对于SPC项目，一个有效的计划较其重要。有效的计划包括这些方面。首先，它应该是全面周密的。也就是说，在SPC项目实施之前，应该充分估计所要用到的资源，包括项目分几个阶段，各阶段的目标、所参与人员、工作内容、工作时间、硬件资源、软件系统、资金等。确定了这些方面内容的计划才是一个具体、明确、切实可行的SPC项目实施计划。其

• iso9001质量管理体系与iso14001环境管理体系有什么异同？

  iso9001质量管理体系与iso14001环境管理体系有什么异同iso9001质量管理体系系列标准已被全世界80多个国家和区域的组织所采用，为广大组织提供了质量管理和质量保证体系方面的要素、导则和要求。iso14001环境管理体系是对组织的活动、产品和服务从原材料的选择、设计、加工、销售、运输、使用到较终废弃物的处置进行全过程的管理。5.1共同点:①iso14001与iso900

• 医药企业实施质量管理体系有效性研究（二）

  影响质量体系运行有效性的因素 影响质量管理体系的有效性发挥的因素主要有两方面,即:外部因素和内部因素。 外因主要是指企业所选择的咨询机构和机构。咨询机构水平的高低以及责任心对质量管理体系的实施有重要的影响,一个优秀的咨询机构能够从企业实际出发,为企业量身订造一套适合的质量管理体系并不断的完善企业的质量管理水平。一个客观、公正的机构能够对企业的质量管理体系进行全面的系统的

• 高风险医疗器械管理制度

  一、医疗器械质量管理机构应当由医院分管**负责。质量管理机构和人员的主要工作职责有：1、负责起草和制定本医院的医疗器械质量管理制度，指导、督促医疗器械管理工作，定期组织考核。        2、 负责制定相关人员的继续教育和培训计划，具体落实采购、验收、养护、使用人员的培训工作。    &