ISO 27001 信息安全管理体系 - 厦门赛尔特电子股份有限公司 - SETsafe

ISO/IEC 27001:2022 的主要内容

组织环境：

要求组织充分理解和评估与其信息安全管理体系相关的内外部因素，包括组织所处的行业、业务性质、法律法规要求、技术环境等，以确定 ISMS 的范围和边界，确保其与组织的战略方向和业务目标相一致。

领导作用：

强调最高管理层在信息安全管理中的关键作用。最高管理层需展示对信息安全的领导和承诺，制定信息安全方针，确保其与组织的目的相适宜，并将信息安全要求融入组织的过程和活动之中。同时，要分配信息安全相关的职责和权限，并向最高管理层报告 ISMS 的绩效。

策划：

组织应策划如何应对信息安全风险和机会，包括进行全面的信息安全风险评估，识别信息资产面临的威胁、存在的脆弱性及其潜在影响，并根据风险评估结果制定相应的信息安全风险处置计划，确定风险处置的优先级、选择适当的风险处置措施等。此外，还需在相关职能和层级上建立可测量的信息安全目标，并策划其实现路径，确保信息安全目标与信息安全方针保持一致且可实现。

支持：

组织应确保为 ISMS 的建立、实施、维护和改进提供必要的资源，包括财务资源、人力和技术资源等。确定影响信息安全绩效的工作人员的必要能力，并通过培训、教育或经验分享等方式，使其具备相应的信息安全意识和技能。同时，要提高全体员工对信息安全重要性的认识，确保他们了解 ISMS 的相关要求及其在信息安全方面的职责。此外，还需建立有效的沟通机制，确保信息安全事宜在组织内部及与外部相关方之间的有效沟通，并控制 ISMS 所需的文件化信息，确保其适宜性、充分性和有效性，防止文件的损失或不当使用。

运行：

按照策划的风险处置计划实施信息安全控制措施，管理变更对信息安全的影响，并定期进行全面的信息安全风险评估，以确保 ISMS 的有效性和持续适宜性。

绩效评价：

组织需建立绩效指标来衡量 ISMS 的有效性，如信息安全事件的数量、信息安全绩效的趋势、员工对信息安全意识的反馈等。通过内部审核、外部审计和管理评审等活动，对 ISMS 的绩效进行监控、测量、分析和评价，确保其符合标准要求并达到预期的绩效目标。根据评价结果，识别持续改进的机会，以不断提升 ISMS 的绩效和组织的信息安全管理能力。

改进：

在发生不符合 ISMS 要求的情况时，组织应及时采取纠正措施，控制并纠正不符合情况，分析原因并采取措施防止其再次发生。同时，要持续监控和评估纠正措施的有效性，并根据评估结果对 ISMS 进行必要的变更，以确保其持续有效性和适应性。

赛尔特（SETsafe | SETfuse）主要执行情况

建立完善的管理体系：

赛尔特（SETsafe | SETfuse）通过了 IATF 16949、ISO 9001 等多项质量管理体系认证，以及 ISO 14001 环境管理体系、ISO 45001 职业健康安全管理体系、ISO 50001 能源管理体系等认证，这些体系的建立和运行体现了公司对管理的重视和规范，为其在信息安全管理体系的建设上奠定了良好的基础和管理思路，有助于更好地整合和协调各项管理活动，提升整体管理水平。

数字化管理助力信息安全：

采用国际知名工业级软件管理企业，以 OA 为核心与各大业务系统做数据对接，实现无纸化办公。这不仅提高了工作效率，还在一定程度上加强了信息安全的管控。通过数字化管理系统，可以更好地控制信息的访问、存储、传输等环节，确保信息的安全性和保密性，降低信息泄露的风险。同时，数字化管理也有利于实现信息的集中管理和备份，提高信息的可用性和可靠性，为信息安全管理体系的有效运行提供了技术支撑。

产品的信息安全特性：

作为电路保护元器件及相关电路安全解决方案的专业供应商，赛尔特（SETsafe | SETfuse）的产品主要为电路保护元器件。虽然这些产品本身并非直接针对信息安全设计，但在其应用过程中，如在通信、电源、照明等领域，电路保护元器件可以间接地为设备的信息安全提供保障。例如，确保电路的稳定运行，防止因电路故障导致设备无法正常工作，从而避免可能因设备故障引发的信息安全问题。此外，赛尔特（SETsafe | SETfuse）还参与了多项电路保护元器件的中国、国际标准制定、修订工作，这有助于其及时了解和掌握行业内的最新技术发展和信息安全要求，将相关信息融入到产品设计和生产过程中，提升产品的信息安全性能。

注重知识产权保护：

通过了知识产权管理体系认证（GB/T 29490），表明赛尔特（SETsafe | SETfuse）重视知识产权的保护和管理。这与信息安全管理体系中的信息安全要求相呼应，因为知识产权作为组织的重要信息资产之一，其保护也是信息安全管理工作的重要内容。通过有效的知识产权管理体系和信息安全管理体系的协同运作，可以更好地保护公司的知识产权，防止技术泄露和侵权行为的发生，维护公司的核心竞争力。

风险管理意识：

在生产经营过程中，赛尔特（SETsafe | SETfuse）高度重视风险管理，采用了多种风险预警机制。这种风险意识也可以延伸到信息安全领域，将这种风险思维应用到信息安全管理体系的建设中，主动识别和评估信息安全风险，并采取相应的控制措施，以降低风险带来的影响。

更多信息，可联系赛尔特（SETsafe | SETfuse）了解，邮箱：sales@SETfuse.com。