点击上方蓝色字“Sky的安全观”关注我们
ISO/IEC 27001: 2013 标准详解与实施合集(共47篇)
ISO/IEC 20000-1: 2018 标准详解与实施合集(共48篇)
ISO 22301: 2019 标准详解与实施合集(共38篇)
ISO 9001: 2015 标准详解与实施合集(共45篇)new!
ISO 14001: 2015 标准详解与实施合集(共26篇)new!
ISO 45001: 2018 标准详解与实施合集(共30篇)new!
>>更多精彩合集,敬请期待<<
华为对其供应链的信息安全和网络安全审核是有区别的,区别请详见《华为供应商信息安全管理体系与网络安全管理体系审核的区别》
作为华为的供应商,要想符合华为供应链网络安全管理体系要求,轻松自如地应对华为的审核,那么企业同样必须提前以ISO/IEC 27001为框架搭建完善和有效的信息安全管理体系。因为这些网络安全要求也都是在ISO/IEC 27001基础之上进行的扩展和细化的。
因此,要想轻松落地客户的网络安全要求,并顺利应对客户的审核,就必须首先搭建好企业自身的信息安全管理体系。否则,在应对客户审核时,也必然是人仰马翻,事倍功半。
| 华为供应链网络安全管理体系要求审核应对方案(部分) | |||
| 序号 | 华为网络安全要求 | ISO/IEC 27001关联内容 | 华为网络安全求整合方案 |
| 1 | 安全协议 | ||
|
|
|
2.顾客信息安全要求清单 |
|
|
|
|
2.员工通用保密协议 |
2.参考华为信息安全要求,编制华为项目专项安全协议 3.华为项目关键岗位签署华为项目专项安全协议 |
|
|
|
2.例行性信息安全培训记录 |
2.例行性的华为项目相关的网络安全要求(包含安全协议条款要求)培训记录 |
|
|
|
2.供应商通用信息安全协议(或保密协议) |
2.将华为安全协议要求,转换为企业自己的协议,并让参与华为项目的供应商签署 |
| 2 | 安全体系 | ||
|
|
|
2.顾客信息安全要求清单、适用信息安全法律法规清单、以及合规评价记录 |
2.华为项目相关的适用网络安全法律法规清单,以及符合性评价记录 3.华为网络安全要求符合性评价记录,包含应对的相关文件 |
|
|
|
|
|
|
|
|
2.项目信息安全风险评估记录 |
2.华为项目网络安全风险评估记录 |
|
|
|
2.信息安全检查记录,问题跟踪记录等 |
2.《华为项目网络安全检查管理规范》制定,应考虑华为相关要求 3.华为项目网络安全检查记录,问题跟踪记录等 |
| 3 | 生产系统安全 | ||
|
|
|
2.网络拓扑图 |
2.华为项目生产系统安全防护架构图 |
|
|
|
2.网络拓扑图 |
2.华为项目网络拓扑图 |
|
|
|
2.工控计算机台账,漏洞修复记录,系统更新记录,补丁更新记录等 |
2.华为项目生产电脑及服务器台账,包含系统,漏洞,及补丁更新,防病毒软件安装等记录 |
|
|
|
2.代码检测记录,漏洞扫描记录,渗透测试报告 |
|
|
|
|
|
2.高危端口禁用清单 |
|
|
|
|
2.生产系统数据分级清单,数据加密和备份记录等 |
以上是部分华为网络安全要求的审核应对方案,这个方案是深度整合到企业的信息安全安全管理体系(ISO/IEC 27001)的,可以远远超出华为审核人员的预期,完全不用担心过不了华为的审核。
希望看到全部方案,或者需要辅导的企业可以联系我(有需要合作的咨询辅导机构也可以联系我),辅导的内容不限于华为网络安全的审核,也包括华为信息安全的审核,以及其他国内外大公司的信息安全审核。
如果企业原本信息安全管理体系(ISO/IEC 27001)就比较糟糕,建议与信息安全管理体系(ISO/IEC 27001)提升项目一起做,信息安全管理体系(ISO/IEC 27001)提升项目服务内容,请参考《ISO/IEC 27001: 2022 咨询辅导项目服务内容》。这样做的好处是,一是可以节约人力财力,二是可以一劳永逸。
>>ISO标准过程和文件清单<<
>>更多精彩清单,敬请期待<<
原文始发于微信公众号(Sky的安全观):华为供应链网络安全管理体系要求审核应对方案
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论