案例研究

金融業案例二- ISO27001國際標準專業顧問服務
總部設在香港並向全球提供專業金融服務的跨國金融機構

規模 超過200 員工
服務 ISO27001認證諮詢服務
挑戰 為了準備ISO27001認證的申請,我們必須説明客戶建立整套資訊安全管理系統,包括相關檔的擬定和系統的實施應用,並引導客戶的主要管理層參與到資訊安全提升的過程中來。
結果 我們幫主客戶建立了ISMS(資訊安全管理系統)手冊並制定了相關政策,程式和指導方針以滿足ISO27001對安全框架和系統結構的要求。除此之外,我們還提供旨在促進客戶持續改進的技術建議以及糾正措施計畫。
後續跟進
  • 減少現有資訊安全性漏洞。
  • 定期回顧資訊安全管理的政策、程式和指導方針以促進持續改進。
  • 為可實應用新提出的資訊安全的方法和工具,向客戶提供切實可行的建議和進度管理的服務。

  • 挑戰
    本案例中,我們的客戶是一家在全球雇傭超過200名員的跨國金融企業。作為全球性的金融機構,我們的客戶在全天候的在世界範圍內運行幾個即時交易系統。我們的使命就是説明客戶建立完善的資訊安全管理框架,提升其資訊安全水準,並根據ISO27001的標準施行,以減少資訊安全風險。與此同時,我們還為客戶提供技術建議 以幫助他們獲得ISO27001認證批准。更重要的是,我們還幫客戶建立一個有助於資訊安全持續改進的模型。

    結果
    通過與該客戶的管理團隊進行訪談,我們的資訊科技審核團隊擬定了一套手冊作為整個資訊系統安全管理體系的基礎。同時,我們根據ISO27001的準則不斷地修改和完善這些手冊並隨之發佈一系列政策、程式和標準,以説明在客戶不同的地區降低安全風險。

    為了協助客戶在技術上準備系統運行的環境,同時向其傳授應對資質認證機構方面的實際經驗,我們的審計團隊在專案的實施階段也提供現場審查服務,以方便客戶。

    交付成果:
  • 資訊安全管理體系設計、安裝、實施和使用手冊的制訂。
  • 擬定符合ISO27001標準的政策、程式和指導方針。
  • 在安全體系和框架的改進方面,提供技術建議。
  • 在申請資質認證期間,傳授應對ISO稽核員的實踐經驗。

  • 後續跟進
    根據ISO27001要求,資訊安全總是需要持續改進。經過此次評估之後,機構BSI提出了一系列的改進意見。根據這些意見,並透過我們團隊與該客戶的協作,最終我們都説明客戶指定了相應的實際改進方案,並全程監督這些改進方案實施的進程直到下次資質複查檢驗完成。

    影響
    隨著ISMS(資訊安全管理系統)的應用,我們的客戶的資訊安全品質得到顯著的提升。根據我們在技術應用方面的實際改進意見以及行業標準方面的知識,該客戶最終達到了其領域內資訊安全控制的高水準等級。經由我們專業的服務,客戶得到了ISO27001的認證, 因而讓其在其業務增長方面滿懷信心。