ISO27001信（xìn）息安全管理系统标准简介（jiè）（2）

您的（de）当前位置：首页 >> 服务（wù）项目 >> ISO27001

ISO27001信息安全管理系统标准简介（2）

所属分类（lèi）：ISO27001
点击次数：
发布日期：2021/06/17
在（zài）线询价

详细介绍

信息安全（quán）管理系统是（shì）运营风险整体管理（lǐ）系统的其中（zhōng）一部分，目的（de）是建立、实施、推行、检讨（tǎo）、维（wéi）持及（jí）改善信息安（ān）全。

机（jī）构在（zài）信息（xī）的机密（mì）性、完（wán）整性和可用性三方面的目标各（gè）是什么呢？什么程度的风险是可接受的？是否存在任何限制，如法律、法（fǎ）规或机构内部程序？信息安全政（zhèng）策应（yīng）该是一份由（yóu）行政总监签署认可的（de）文（wén）件。控制措施应采取由（yóu）上至（zhì）下（xià）的（de）推行方式（shì）。

风险（xiǎn）评估根（gēn）据（jù）需要保护的信息和可接受的风险程（chéng）度来（lái）识别真正（zhèng）的（de）风险，并就这些风（fēng）险出现的可能性与其影响的严重性作出（chū）评估，从而（ér）辨别出机构需要管理的风险，即下（xià）图红色部分内的（de）风险。

风险管理 / 风险处理
完成风险评估（gū）后，便要决定如何处理（lǐ）这（zhè）些风险。

适用性报告 (Statement of Applicability)
识别出所有的保安措施，指（zhǐ）出哪些（xiē）对机构而言（yán）是适用或不适用（yòng）的，并说明原因。须针对（duì）风险评估的结果来选择控制措施（shī）。

II. 实（shí）施
选（xuǎn）定了控制措施后，便需（xū）落实（shí）推行（háng），同（tóng）时也需制定程（chéng）序以确保能够（gòu）迅速察觉到事故的发生并作（zuò）出回应，并确保所有员工都了解信息安（ān）全的重要性，且确（què）保其接受了适（shì）当的（de）培训，及有能力执行他（tā）们负责的保（bǎo）安（ān）任务。此外，还要妥善管理所需的资源。

III. 核查（chá）
核查的（de）目的（de）是确（què）保控制措（cuò）施都已推行，并（bìng）能达到（dào）既（jì）定的（de）目标。尽管有多种可（kě）行的核查方（fāng）法，但只有内部（bù）审（shěn）核（hé）与管理检讨是强制性的要（yào）求（qiú）。

IV. 采取（qǔ）行动（dòng）
      之后便（biàn）需对核查结果（guǒ）采取适当（dāng）的行动，相关（guān）的（de）行动可以（yǐ）是：
      修正（zhèng）
      预防（fáng）
      改善

总结
ISO/IEC 27001:2005 标准为（wéi）所有行（háng）业的机构都提（tí）供了（le）一套业务工具，协助其避免信（xìn）息保安的失误（wù），从而降低（dī）了相应的风险。正式推行ISO/IEC 27001:2005 并取（qǔ）得有关认（rèn）证的机构将受益匪（fěi）浅，以下列举其中数项（xiàng）：
由于（yú）按（àn）照国际（jì）标准（zhǔn）实施适当的控制措（cuò）施（shī），机构便能自行将信息保安的失（shī）误率降至较低
以系统化的方法处理符合法律的问题（tí），从而减低所需承担的法律（lǜ）责任风（fēng）险
以系统化的方法计（jì）划及管理运营的（de）持续性

增加客户、合作伙伴（bàn）和相关人士对机构的（de）信心
提升营（yíng）运（yùn）收入，并（bìng）为机构带来更多商机（jī）