ISO27001信息安全管（guǎn）理系统标准简介（2）

所属分（fèn）类（lèi）：ISO27001
点击次数（shù）：
发布日期：2021/06/17
在（zài）线询价

详（xiáng）细介绍

信息安（ān）全（quán）管理（lǐ）系统是运营风险整体管理系统的其中一（yī）部分，目（mù）的是建立、实施、推行、检讨、维（wéi）持及改善信息安（ān）全。

机构在信息的机（jī）密（mì）性（xìng）、完整性和可用性三方面（miàn）的目标各是什么呢？什么（me）程度（dù）的（de）风险（xiǎn）是可接受的？是否存在任何限制，如法律（lǜ）、法规（guī）或机（jī）构内部程序（xù）？信（xìn）息（xī）安（ān）全政策应（yīng）该是一份（fèn）由行政总监签署认（rèn）可（kě）的文件（jiàn）。控制措（cuò）施应采（cǎi）取由上至（zhì）下（xià）的推（tuī）行方式（shì）。

风险评估根（gēn）据需要保（bǎo）护的信息和可接受的风险程度（dù）来识别真（zhēn）正的风（fēng）险，并就这些风险出现的可能性（xìng）与其影响（xiǎng）的严重性作出评（píng）估，从而（ér）辨别出（chū）机构需要（yào）管理的（de）风险，即下图红色部（bù）分内的（de）风险。

风险管理 / 风险处理
完成风险（xiǎn）评（píng）估后，便要决定如（rú）何处理这些风险。

适用性报告 (Statement of Applicability)
识别出所有的保（bǎo）安措施（shī），指出哪些（xiē）对机构而言是适用或不适（shì）用的（de），并说明原因。须针对风险评估的结果来选择控制措施。

II. 实施
选定了控（kòng）制措施后，便需落实推行，同时也需制定程序以确保能够迅速察觉到事故的发（fā）生并作出回应（yīng），并确保所有员工都了解信息（xī）安全的重要性，且确保其接（jiē）受了适当（dāng）的培训，及有能力（lì）执（zhí）行（háng）他们负责的保安（ān）任务。此外，还要妥善管理所需（xū）的资源。

III. 核（hé）查
核查的目的是确保控（kòng）制措施都（dōu）已推行，并能达到既（jì）定（dìng）的目标。尽管有多种（zhǒng）可行（háng）的核查方法，但只（zhī）有内部审核（hé）与（yǔ）管（guǎn）理检讨是强制性的（de）要求。

IV. 采（cǎi）取行动
      之后（hòu）便需对核查结果采取适（shì）当的（de）行动，相关（guān）的行动可（kě）以是（shì）：
      修正
      预防
      改善

总结
ISO/IEC 27001:2005 标准为所（suǒ）有行业的机构都提供了一套业务工具，协助（zhù）其（qí）避免信息（xī）保（bǎo）安的失误，从而降低了相（xiàng）应的风（fēng）险。正式推行ISO/IEC 27001:2005 并取（qǔ）得有关认（rèn）证的机构将受（shòu）益匪浅，以下列举其中数项（xiàng）：
由于按照国际标准实施适当（dāng）的控制措（cuò）施，机构便（biàn）能（néng）自（zì）行将信息保安（ān）的（de）失误率降至较低（dī）
以（yǐ）系（xì）统化（huà）的方法处理符合法律的问题，从（cóng）而减低所需承担的法（fǎ）律责任（rèn）风险
以系（xì）统化的方法（fǎ）计划（huá）及管理（lǐ）运营（yíng）的持续性

增加客户、合作（zuò）伙伴（bàn）和（hé）相关人（rén）士对机构的信心（xīn）
提（tí）升营运收入，并为机构（gòu）带来更多商机