信息安全,意為(wèi)保护信息及信息系统免受未经授权的进入、使用(yòng)、披露、破坏、修改、检视、记录及销毁。涉及计算机科(kē)學(xué)、网络技术、通信技术、密码技术、信息安全技术等多(duō)种综合性技术。网络环境下的信息安全體(tǐ)系是保证信息安全的关键。随着当今社会互联网的广泛应用(yòng)和高速发展,信息也成為(wèi)了一种商(shāng)业资产,其重要性与日俱增。按照國(guó)际标准化组织提出的 ISO/IEC 27000 中的概念,信息安全需要保证信息的保密性、完整性和可(kě)用(yòng)性。通俗地讲,就是要保护信息免受来自各方面的威胁,从而确保一个组织或机构的可(kě)持续发展。
ISO27001是一种國(guó)际标准,主要关注企业和组织的信息安全,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作為(wèi)确定信息系统在大多(duō)数情况所需控制范围的参考基础,适用(yòng)于大、中、小(xiǎo)组织。
國(guó)科(kē)恒兴(北京)医疗科(kē)技有(yǒu)限公司(以下简称“國(guó)科(kē)恒兴”)是國(guó)科(kē)恒泰(北京)医疗科(kē)技股份有(yǒu)限公司的全资子公司。國(guó)科(kē)恒兴的主要业務(wù)是通过采用(yòng)业内领先的云计算基础架构,以及分(fēn)布式计算、分(fēn)布式存储、分(fēn)布式大数据架构以及主流互联网中台架构體(tǐ)系,同时引用(yòng)區(qū)块链及人工智能(néng)技术,搭建业務(wù)中台、技术中台、数据中台和AI中台四套中台支撑架构,同时整合医疗行业全产业链的应用(yòng)需求,為(wèi)上至供应商(shāng)(含进出口业務(wù)服務(wù)),下至医院终端或患者,提供全面的自主知识产权的供应链前台应用(yòng)服務(wù)、大数据服務(wù)和智能(néng)化物(wù)流服務(wù)。國(guó)科(kē)恒兴一直努力创建符合医械行业特点的、可(kě)服務(wù)医疗全行业的行业云服務(wù)。而能(néng)否达到信息安全的标准是提供该行业云服務(wù)成败的关键。
自启动ISO认证工作以来,國(guó)科(kē)恒兴严格遵照ISO27001國(guó)际标准及行业监管要求,分(fēn)别开展了资产识别、风险评估、风险处理(lǐ)、风险控制、持续监控以及信息安全管理(lǐ)體(tǐ)系试运行等一系列工作,针对评估中发现的信息安全风险逐条研究和优化,建立了一套涵盖安全政策、资产分(fēn)类与控制、系统开发与维护、访问控制等领域的信息安全管理(lǐ)體(tǐ)系,有(yǒu)效地提升了信息科(kē)技风险防范能(néng)力。
经过努力, 國(guó)科(kē)恒兴于2020年8月份成功通过ISO27001认证。这表明了國(guó)科(kē)恒兴的信息安全管理(lǐ)體(tǐ)系符合目前所有(yǒu)适用(yòng)的法律法规。ISO27001标准本身就是参照了业界最通行的实践措施而制定的,而这些实践的措施,在很(hěn)多(duō)國(guó)家相关的信息保护法规中都有(yǒu)體(tǐ)现(例如美國(guó)的SOX法案、HIPAA、个人隐私法、计算机安全法、GLBA等)。因此,通过ISO27001认证表明國(guó)科(kē)恒兴已经建立起比较成熟的信息安全管理(lǐ)體(tǐ)系,达到了國(guó)际标准。
同时,國(guó)科(kē)恒兴在实现认证的过程中,通过一系列的努力和改进也提高了整个集团组织自身的安全管理(lǐ)水平,将组织的安全风险控制在可(kě)接受的范围内,减少因安全事件而可(kě)能(néng)带来的破坏和损失。更重要的,國(guó)科(kē)恒兴可(kě)以更有(yǒu)效地履行國(guó)家法律和行业规范的要求,保证了集团公司业務(wù)合规发展的可(kě)持续性。另一方面,合作与协作在如今的商(shāng)业社会是非常普遍的发展手段,通过ISO27001认证,集团公司能(néng)向客户及利益相关方展示对信息安全的承诺以及管理(lǐ)能(néng)力,增强合作伙伴、投资方的信心,同时也能(néng)向政府及行业监管部门展示业務(wù)运作的合规性,具有(yǒu)重要的意义。