鹰潭（tán）ISO27001信息安全管理系统标准简介（2）

您的当前位（wèi）置：首页（yè） >> 服务项目（mù） >> 鹰潭ISO27001

鹰潭ISO27001信息安全管理（lǐ）系统标（biāo）准（zhǔn）简（jiǎn）介（2）

所属分类：鹰潭ISO27001
点击次数：
发布（bù）日期：2021/06/17
在线询价

详（xiáng）细介绍

信（xìn）息安全（quán）管理系统是运营风险整（zhěng）体管理系（xì）统（tǒng）的其中一部（bù）分，目（mù）的是建立（lì）、实施、推行、检讨、维持（chí）及改（gǎi）善信息安（ān）全。

机构在信息的机密性、完整性和可用性三方面的目标各是（shì）什（shí）么呢？什么程度的风险（xiǎn）是可接受（shòu）的？是（shì）否存在（zài）任何限制，如（rú）法律、法规或机（jī）构内部程序（xù）？信息安全政策（cè）应该（gāi）是一份（fèn）由行政总监签署认（rèn）可的（de）文（wén）件。控制措（cuò）施（shī）应采取由上至下的推行方（fāng）式。

风险评（píng）估（gū）根据需要保护的（de）信息和可接受（shòu）的风险（xiǎn）程度来识别真正的风险，并（bìng）就这些风险（xiǎn）出（chū）现的可能性与其（qí）影响的严重性作出评估，从而辨别出机构需要管理的风（fēng）险（xiǎn），即下图红色部分内的风险。

风险管（guǎn）理 / 风险处理
完成风险评估（gū）后，便要决定如（rú）何处理这些风险。

适用性报告 (Statement of Applicability)
识别出所有（yǒu）的保安措（cuò）施，指出哪些对机构而言（yán）是适用或不适用的，并说明（míng）原因。须针对（duì）风险评估的结（jié）果来选择（zé）控制（zhì）措施。

II. 实施
选定了控（kòng）制措施后，便需落实推行，同（tóng）时也需制定程序以（yǐ）确保能够迅速察觉到事故的（de）发生（shēng）并作出回应，并确保所（suǒ）有员工都（dōu）了（le）解信（xìn）息安全的重（chóng）要性，且确保其接受（shòu）了适当的（de）培训，及有能力执行他（tā）们负责的保安任务。此外（wài），还要妥善管理所需的资（zī）源（yuán）。

III. 核查（chá）
核（hé）查的（de）目（mù）的是确保控（kòng）制措施都已推行，并（bìng）能达到既（jì）定的目标。尽管（guǎn）有（yǒu）多种可行（háng）的核查方法，但（dàn）只有（yǒu）内部审核（hé）与管理检（jiǎn）讨是（shì）强制性的要求。

IV. 采取行动
      之后便需对（duì）核查结（jié）果采取适当的行动（dòng），相关的行动可以是：
      修正
      预防
      改（gǎi）善

总结
ISO/IEC 27001:2005 标准为所有（yǒu）行业的（de）机构都提供了一套业务工具，协助其避免信息（xī）保安的失误，从而降（jiàng）低了相应的风险。正式推行ISO/IEC 27001:2005 并（bìng）取得（dé）有关认证（zhèng）的机构将（jiāng）受益（yì）匪（fěi）浅，以下列举其（qí）中（zhōng）数（shù）项：
由（yóu）于按照国际标准实施适当（dāng）的控（kòng）制措施，机构便能自（zì）行将信息保（bǎo）安（ān）的失误率（lǜ）降至较（jiào）低
以系（xì）统化的方法处理符（fú）合法律的（de）问题，从而减低所需承担的法律责任风险
以系统化的方法（fǎ）计划及管理运营（yíng）的持续性

增加客（kè）户、合作（zuò）伙伴和相关人士对机构的信心（xīn）
提（tí）升营运（yùn）收入，并为机构（gòu）带来更多商机