| 上海华虹 NEC 信息安全管理体系咨询、认证
|
上海华虹NEC电子有限公司(以下简称华虹NEC)是我国大型集成电路芯片制造企业。为进一步提高信息安全管理的水平,保护集成电路设计方的信息安全,经市场招标,确定由上海测评中心实施其信息安全管理体系建设与认证项目。
本项目针对华虹NEC的14个部门建立信息安全管理体系,覆盖大规模集成电路 (LSI)的设计、制造、销售、测试活动,及相关的应用系统及支持性信息管理系统,包含的全部信息资产。本项目实施的目的是辅助华虹NEC建立信息安全管理体系,提升信息安全意识,提高组织的信息安全水平。项目实施从2003年12月至2004年5月,历经近6个月,分为培训、现场调研、风险评估、文件编写及试运行5个阶段实施,成功地建立信息安全管理体系,并通过BSI的认证。各阶段咨询内容及方法详述如下: |
| 第一阶段:培训 |
| 全员意识培训,主要对标准内容进行培训,帮助全员建立信息安全意识;内审员风险评估培训,将风险评估方法进行实操培训,使得内审员理解风险评估方法并具备风险评估的实操能力。 |
| 第二阶段:现场诊断 |
| 咨询方实施了对上海华虹 NEC 14个部门的现场诊断,对华虹NEC的关键业务、核心信息及信息流做深入了解,以为风险评估及文件编写提供有力依据。 |
| 第三阶段:风险评估 |
| 根据华虹的实际情况,采用了适合华虹的“重要信息资产”的判断方法,避免了由于资产量较大带来的繁琐。风险计算完成后,咨询方完成风险统计,向管理者提供《风险评估报告》。 |
| 整个风险评估过程都体现了技术与管理相结合、各级人员共同参与的特点。 |
| 第四阶段:文件编写 |
| 依据风险评估结果和华虹 NEC的业务流程,对文件进行编写,除设计编写通用文件外,还注重一些特殊安全管理要求的文件。另外,咨询方根据华虹NEC已建立ISO9001及ISO14001体系的情况,在体系设计及编写阶段,均做到了与已有体系进行整合,包括文件的整合和记录表格的整合,以提高管理效率。 |
| 第五阶段:试运行 |
通过实施全员的体系文件及试运行的培训,使所有人员了解试运行期间各自的职责及任务。在试运行期间,咨询方除辅导完成了三级文件的编写和各种记录表格的填写外,还实时监督体系的运行情况,及时纠正各种问题,如对体系文件的修改、对风险评估方法及风险处理的修改,以保证体系的有效运行。
在辅导客户顺利完成试运行的期间,咨询方始终注意根据员工的不同情况实施不同的辅导。力争降低管理成本,提高管理效率。
在试运行期间,咨询方始终注重客户的主导作用,并体现咨询方的专业指导作用,以保证体系认证结束后体系的正常运作。 |
|
