atsec安全策略

使命声明(Mission Statement)
致力于增强我们客户的业务和运营,为其提供专业的和独立的信息安全建议。
公司理念(Company Philosophy)

atsec信息安全是一家独立于厂商,致力于信息安全业务的咨询公司。它结合丰富的技术知识,为客户提供具有商业导向的信息安全解决方案。atsec能够在信息安全的各个领域为客户提供专业高水平的咨询服务。

atsec完全专注于为我们的客户提供信息安全咨询。我们的指导原则强调了我们独特的方法:

我们熟知从事的业务
atsec深切的了解所从事的信息安全咨询领域。通过跨国的组织结构,我们感到国际性的业务运作是atsec所固来的优势之一。我们是一个全球化范围的公司,我们在欧洲、美国和中国都设立了办公室。同时我们为客户提供最高质量和及时的工作交付。

我们贵在诚信
信息安全咨询和评估是一个高度正直严谨的工作,并且需要高度诚信。所有我们的同事都坚持与客户保持最高等级的诚信关系。我们致力于在特定时间内提供最高质量的服务。

我们保持专一
atsec咨询顾问均为信息安全咨询顾问。由此atsec注定专一地从事信息安全咨询领域。我们不做其他任何领域的咨询,我们也不会从事软硬件或任何其他产品的销售。

我们是独立的
atsec是一家自有员工的公司。我们不与任何硬件或者软件厂商合作,而且今后也决不会如此。我们作为咨询顾问的诚信度依靠于我们的独立运作模式。我们的客户能够绝对地信赖我们完成所既定的目标。我们没有兴趣做任何产品的销售,只是专心致力于安全专家服务。

基本原则(Basic Principles)
我们的成功取决于客户对我们工作方式的信任。atsec的管理层和全体atsec同事遵从以下基本的业务原则:

可信赖的(Trustworthiness)
我们确保我们的资源是可靠的,我们只使用经证实的信息。

竞争力(Competence)
我们根据同事合适的技能和经验为客户的项目指派人员。

技能冗余(Skills Redundancy)
信息安全知识和专业技能是一家公司能力的广泛体现,因此对于项目中某个同事的缺席不会影响整个项目的成功实施。

质量(Quality)
我们项目和交付的质量根据我们的质量管理体系和流程进行维护。

保密(Confidentiality)
我们针对所有来自客户的信息和客户相关的信息提供最高级别的保密。

谨慎(Discretion)
我们只针对提供给我们信息的目的使用接收到的信息。

诚信(Integrity)
我们遵守最高的道德标准和法律的要求。

这里描述的信息安全管理体系 遵从我们的公司理念,并为我们基本的业务原则保驾护航。

目标(Objectives)
atsec信息安全管理体系(ISMS:information security management system )的总体目标:

意识(Awareness)
定期地通过适当的渠道发布关于安全目标、公司战略和计划措施的信息。创建针对信息安全需要的共同意识,并实现ISMS目标的强有力的承诺。确保新员工能够遵从atsec的公司理念和基本原则。将定期计划更新和进修课程作为公司文化的一部分。

培训(Training)
提供培训,使员工能够广泛的了解信息安全漏洞、威胁和应对措施。为员工提供国家和国际法律要求和标准的培训。

组织(Organization)
建立组织,构建有效的ISMS,并使其符合法律和标准规定的正式的安全要求。定义安全角色,为其指定合格的人员,且提供必要的权力和资源。

文档(Documentation)
为atsec信息安全管理体系(ISMS)建立具有良好结构的文档体系。具有所有相关信息,如原则(principles),指导(guidelines),技术描述(technical descriptions)和检查列表(checklists),这些文档保持方便地可用、周期地审核,且在版本控制下维护。支持信息分类指导。

流程(Procedures)
定义所有必要的流程并明确职责。审核整个信息安全战略,监督控制,并确定新的风险及其合适的处理。

质量管理(Quality Management)
遵守质量手册中定义的信息安全要求。

风险管理(Risk Management)
执行并文档化定期的风险评估。描述现有的控制措施,识别弱点和威胁,确定残余风险,并草拟额外的控制,使执行委员会能够充分处理所有的风险。

安全控制(Security Controls)
通过风险评估的决定,为所有系统提供所需要的安全组件。

个人职责(Individual Responsibility)
每名atsec员工都独立地具有保护上述规定信息以及任何没有明确规定的信息的责任。

审计和认证(Audit and Certification)
确保信息安全的标准对公司管理层和客户而言都是可以衡量和核查的。ISO/IEC 27001:2005的正式认证将提供这些证据。

机密信息(Confidential Information)
atsec的员工必须根据文档[2]规定的流程以及任何客户所要求的特殊流程处理客户机密信息和atsec内部信息。

可执行性(Enforceability)
当此安全策略和安全管理体系的所有其他文档一旦由执行委员会签署,对所有atsec员工来说都是可执行且强制的。

制裁(Sanctions)
员工如果违反了信息安全的制度,特别是此安全策略中描述的内容,可能遭受适当的制裁。

外部人员(External Personnel)
为atsec工作的外部人员必须满足atsec的安全策略。

必须签署恰当并且正式的协议,同时外聘人员必须签署此安全策略和atsec保密协议。

请查看我们的认证和认可页面