案例研究

金融业案例二- ISO27001国际标准专业顾问服务
总部设在香港并向全球提供专业金融服务的跨国金融机构

规模 超过200 员工
服务 ISO27001认证咨询服务
挑战 为了准备ISO27001认证的申请,我们必须说明客户建立整套资讯安全管理系统,包括相关档的拟定和系统的实施应用,并引导客户的主要管理层参与到资讯安全提升的过程中来。
结果 我们帮主客户建立了ISMS(资讯安全管理系统)手册并制定了相关政策,程式和指导方针以满足ISO27001对安全框架和系统结构的要求。除此之外,我们还提供旨在促进客户持续改进的技术建议以及纠正措施计画。
后续跟进
  • 减少现有资讯安全性漏洞。
  • 定期回顾资讯安全管理的政策、程式和指导方针以促进持续改进。
  • 为可实应用新提出的资讯安全的方法和工具,向客户提供切实可行的建议和进度管理的服务。

  • 挑战
    本案例中,我们的客户是一家在全球雇佣超过200名员的跨国金融企业。作为全球性的金融机构,我们的客户在全天候的在世界范围内运行几个即时交易系统。我们的使命就是说明客户建立完善的资讯安全管理框架,提升其资讯安全水准,并根据ISO27001的标准施行,以减少资讯安全风险。与此同时,我们还为客户提供技术建议以帮助他们获得ISO27001认证批准。更重要的是,我们还帮客户建立一个有助于资讯安全持续改进的模型。

    结果
    通过与该客户的管理团队进行访谈,我们的资讯科技审核团队拟定了一套手册作为整个资讯系统安全管理体系的基础。同时,我们根据ISO27001的准则不断地修改和完善这些手册并随之发布一系列政策、程式和标准,以说明在客户不同的地区降低安全风险。

    为了协助客户在技术上准备系统运行的环境,同时向其传授应对资质认证机构方面的实际经验,我们的审计团队在专案的实施阶段也提供现场审查服务,以方便客户。

    交付成果:
  • 资讯安全管理体系设计、安装、实施和使用手册的制订。
  • 拟定符合ISO27001标准的政策、程式和指导方针。
  • 在安全体系和框架的改进方面,提供技术建议。
  • 在申请资质认证期间,传授应对ISO稽核员的实践经验。

  • 后续跟进
    根据ISO27001要求,资讯安全总是需要持续改进。经过此次评估之后,机构BSI提出了一系列的改进意见。根据这些意见,并透过我们团队与该客户的协作,最终我们都说明客户指定了相应的实际改进方案,并全程监督这些改进方案实施的进程直到下次资质复查检验完成。

    作用
    随着ISMS(资讯安全管理系统)的应用,我们的客户的资讯安全品质得到显著的提升。根据我们在技术应用方面的实际改进意见以及行业标准方面的知识,该客户最终达到了其领域内资讯安全控制的高水准等级。经由我们专业的服务,客户得到了ISO27001的认证, 因而让其在其业务增长方面满怀信心。