default logo


技术博客

BSCI认证特点是什么,商务必读

BSCI是一种广泛为欧洲采购商所认可的人权验厂标准,据统计已经有1500多家企业成为了BSCI成员,例如一些欧洲知名品牌COOP、C&A、METRO GROUP、ESPRIT,因而BSCI认证成为了他们选择供应商的条件之一,国内也有很多企业纷纷申请BSCI认证,那么究竟BSCI认证特点是什么呢,为何深受很多企业的信赖呢?BSCI认证特点分为以下四点: 1、BSCI认证可以应付各行业客户的要求,并减少了客户对工厂直接的审核,节省费用; 2、很大程度的符合当地的规章制度; 3、BSCI认证为全球各公司提供标准的且适宜的管理方式; 4、不但提供数据库而且也提供共享信息和优化程序的协调作业。 如果您想了解更多关于BSCI认证的信息,欢迎拨打BSCI认证咨询热线:0755-36943904,资深验厂顾问为您详细解答。
继续阅读 →

BSCI与ICS的合并【官方最新消息】

2015年4月2日欧洲两大社会责任倡议BSCI和ICS为了在改善采购国家的工作环境的同时也能节约成本在欧洲对外贸易协会的主持下,签署了协议,计划在2016年完成BSCI和ICS的合并全过程。 众所周知,ICS通过对全球供应链17年的服务,累积了丰富的社会审核管理经验,备受好评。而BSCI有着监控、利益相关者互动以及培训活动的专长,并且通性强的特点也是深受供应商的信赖。 BSCI和ICS的合并不但能使两大社会责任体系得到相互补充,借着汇聚ICS和BSCI丰富的审核经验等各自的专长,推动供应链的可持续发展,而且避免工作的重复和成本的浪费,这为进一步为成员公司开发、提供合适的工具及服务,应对当今复杂供应链下的社会责任挑战打下基础。 BSCI与ICS合并对于每个工厂都如雨甘霖,ICS主要应用于法国客户,而BSCI不但适用于各行各业,广泛应用于欧洲的采购商,BSCI与ICS合并后避免重复验厂,节约成本。
继续阅读 →

ISO27001新版标准释疑

如何理解资产所有者(Asset owners) 在2005版和2013版ISO 27001标准中都提到了“资产所有者(Asset owners)”的概念,什么是资产所有者?资产所有者是“已经获得管理层批准,负责生产、开发、维护、使用和保证资产安全的个人或实体。”通俗的理解,资产的所有者就是资产安全上的责任人,即确定资产的安全需求、对资产安全管控提出安全要求的人。 为什么指定资产所有者至关重要?因为如果不指定资产所有者,就没人对资产的安全负责,这样的话无法确保资产能够得到妥善的保护与管理,从而造成资产安全管理上的混乱与安全风险的不可控。 由于上述资产所有者的关键性,所以无论2005版还是2013版的ISO 27001标准中都要求识别资产所有者,然后再以资产为主线进行“基于资产的风险评估”,最终通过资产所有者落实风险处置措施来提高安全管控能力。 如何理解风险所有者(Risk owners) 那么,什么又是风险所有者(Risk owners)呢?风险所有者是“对风险管理持有权利和责任的个人或实体(person or entity with the accountability and authority to manage a risk.)。”通俗的理解,风险所有者就是希望能够控制某一风险,并且在组织中又有足够的权利和资源去处理这一风险的人。 既然有了资产所有者的概念,为什么还需要风险所
继续阅读 →

最新版ISO27001:2013标准新增信息安全控制措施有哪些?

最新版ISO27001:2013标准新增信息安全控制措施有哪些? A.6.1.4项目管理中的信息安全 信息安全应融入项目管理中,与项目类型无关。 加强项目中的安全管理。 A.6.1.4项目管理中的信息安全 信息安全应融入项目管理中,与项目类型无关。 加强项目中的安全管理。 A.12.6.2限制软件安装 应建立规则来控制用户安装软件 控制版权及技术漏洞风险。 A.14.2.1安全开发策略 应制定及应用关于软件和系统的开发规则 加强信息系统生命周期中的信息安全管理,建立安全开发策略、程序与流程。 A.14.2.5系统开发程序 应建立安全系统开发流程,记录,维护并应用到任何信息系统开发工 作 A.14.2.6安全的开发环境 组织应建立并适当保护开发环境安全,并集成涵盖整个系统开发周期 的工作 A.14.2.8系统安全性测试 在开发的过程中,必须测试功能的安全性 A.15.1.3ICT供应链 与供应商的协议应包括解决信息、通信技术服务、产品供应链相关信 息安全风险的要求 控制供应链中断风险。 A.16.1.4信息安全事件的评估和决策 信息安全事件应当被评估与决策,如果他们被归类为信息安全事件 完善信息安全事件管理生命周期。 A.16.1.5信息安全事故的响应 信息安全事件应依照程序文件响应 A.17.1.2实现信息安全的连续性 组织应建立、记录、实施并维护流程、程序、控制项,以保证在不利
继续阅读 →

外包企业ISO27001信息安全管理的实践探索

自从商务部推出服务外包“千百十工程”之后,在政府政策的大力扶持之下,国内外包产业发展的如火如荼,为了能够承接更多高端服务,满足客户的要求,商务部同时鼓励外包企业通过国际认证以获得更好的竞争力和良好的企业形象。ISO27001信息安全管理体系(ISMS)认证在此背景下,在外包公司得到了比较广泛的认可。越来越多的外包公司已经实施、或者计划实施ISO27001认证。为了更好地理解外包企业信息安全的需要,首先简要分析一下服务外包业务的特点,当然,由于信息安全是本文的发力点,仅仅分析列出与信息安全相关的业务特点: 1. 知识密集型,对人才的要求很好 外包服务属于知识型密集产业,很多业务都需要从业人员有相关的培训教育经历和丰富的实践经验,与制造业有很大区别。因此外包需要的人力资源要求就高,而外包业务恰恰依赖的就是人。 2. 外包成果无形化,难以量化评估 外包最终的成果多数并非是实物化产品,而是一种服务,这就难以将成果量化进行评估,但是在某些方面也存在一些公认的评价体系,如软件外包领域内CMMI国际认证,这是对软件外包接包商能力的一种评价指标。另外,在考量接包方在客户信息保密等方面,国际国内客户基本都已经认同ISO27001信息安全管理体系(ISMS)认证,这是接包方在信息安全能力方面的评价框架。 3. 很大程度上依赖互联网和通信技术 目前国内外包业务大多数是离岸外包,双方合作关系的确立以及业务
继续阅读 →

ISO27001适用于哪些行业?

适用于各种类型、规模和特性的组织(例如:商业企业、政府机构、非盈利组织等),规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。以下示例说明了风险的不同类别。 一、适用于所有组织的特定风险类别: l 1)工资、养老金、健康与安全、组织档案、内部和部门间的信息等; l 2)任何其他与个人有关的可识别信息; l 3)任何其他商业敏感/关键信息,例如,研发信息、设计信息、客户组织详细信息、财务结果 4)与预测、商业计划、知识产权、制造过程等。 二、适用于政府的敏感和(或)关键信息的特定风险类别: l 1)公共信息; l 2)电子政务应用; l 3)持有的公民信息,例如,健康、救济金、税金、档案等; l 4)政府的供应商和生产商持有的信息,例如,信息通信技术(ICT)设计、设施、产品、服务等。 三、适用于组织种类的特定风险类别: l 1)法人治理—上市公司(可能也有其他大型的实体)。 2)适用于行业的特定风险类别: l 3)卫生保健; l 4)教育; l 5)航空航天; l 6)电信; l 7)金融服务; l 8)慈善团体和非盈利组织。
继续阅读 →

深圳市倍思天成管理顾问有限公司   Copyright © 2016; All Rights Reserved ICP备案号:粤ICP备16088592号-1.