【编者按】在数字化浪潮席卷全球的今天,信息安全已成为企业生存与发展的生命线。然而,即便手握权威认证,也绝非一劳永逸的“护身符”。近期,韩国政府针对屡次发生的信息泄露事件,果断亮剑:一旦通过ISMS及ISMS-P认证的企业发生重大安全事故,认证将立即被撤销。这一雷霆举措,不仅是对企业安全管理的严肃拷问,更是对行业自律的强力鞭策。安全无小事,责任重于山。认证不是终点,而是持续守护的起点。任何侥幸与懈怠,都可能让昔日的光环瞬间黯淡。以下带来详细解读,值得每一家重视信息安全的企业深思。
即使是已获得信息安全管理体系(ISMS)及个人信息与信息安全管理体系(ISMS-P)认证的企业,若发生黑客攻击或个人信息泄露等重大安全事件,其认证资格也将被立即撤销。
韩国科学技术信息通信部与个人信息保护委员会于29日召开跨部门对策会议,韩国互联网振兴院、金融安全院等认证机构及民间专家共同参与。会议决定明确并立即实施ISMS与ISMS-P认证的撤销标准和程序。此举是继本月6日“认证制度完善战略会议”后推出的后续措施,旨在加强认证后管理的实效性——鉴于近期已获认证的企业仍接连发生网络入侵及个人信息泄露事件。
首先,政府计划在每年的认证后审计中,重点检查与实际事件密切相关的核心项目,例如外部互联网接入点识别、访问权限管理以及安全补丁管理。如果企业拒绝接受认证后管理检查、未能提交或伪造文件,或被发现存在重大缺陷,经认证委员会审议后,其认证资格将被撤销。
对于因违反《个人信息保护法》而受到罚款等处罚的企业,也将根据违规严重程度面临认证撤销。特别是当损害规模影响1000万人以上、涉及重复违规,或属于具有重大社会影响的故意或重大过失违规时,原则上将撤销认证。同时,政府正在推动修订《信息通信网络法》,以便在发生严重违规时能够撤销认证。
认证撤销后的管理措施也已制定。对于法律强制要求认证的企业,撤销后将给予一年的重新申请宽限期,在此期间豁免因未履行认证义务而产生的罚款,以鼓励企业切实提升安全水平。非强制认证的企业则将被建议重新获取认证,以维持其管理体系。
韩国科学技术信息通信部表示:“如果在认证后审计中发现获证企业未能维持信息安全管理体系所要求的水平,我们将积极撤销其认证,从而提升政府认证制度的实效性。”
本文由 @龙少 发布在 酷闻网,如有疑问,请联系我们。
文章链接:http://www.51qnews.com/c/6660.html
