赣州（zhōu）ISO27001信息安（ān）全管理（lǐ）系统标准简介（2）

您的当前位置：首页 >> 服（fú）务项目 >> 赣（gàn）州ISO27001

赣州ISO27001信息安全管理（lǐ）系统标准简介（2）

所属分类：赣州ISO27001
点击次数：
发布日期：2021/06/17
在线询价

详细介绍

信（xìn）息安（ān）全管理（lǐ）系统是运（yùn）营风险整体管理系统（tǒng）的其中一部（bù）分，目的是建立、实施、推行、检讨、维（wéi）持及（jí）改善信息安全。

机（jī）构在（zài）信息的机（jī）密性、完整性和可（kě）用性三方面的目标各是什么呢？什么程（chéng）度的风险是可接（jiē）受的？是否存在任何限制，如法律（lǜ）、法规或（huò）机构（gòu）内部程序？信息（xī）安全政策应该是一份由行政总监签署认可（kě）的（de）文件。控制措施应（yīng）采取由上（shàng）至下（xià）的推行方式（shì）。

风险评估根据需要保护的信息和可接（jiē）受的（de）风险程度来（lái）识别真正的风险，并就这些风险出现的可（kě）能性（xìng）与（yǔ）其影响的严（yán）重性作出评估，从而（ér）辨别出机（jī）构需要管（guǎn）理的风险，即下图红色部分（fèn）内的风险。

风险管理 / 风险处理
完成风（fēng）险评估后，便要决定如何处理这些风险。

适用性（xìng）报（bào）告 (Statement of Applicability)
识别出所（suǒ）有的（de）保安措施（shī），指（zhǐ）出哪些对机构而言是适（shì）用或（huò）不适用的（de），并说明原因。须针对风（fēng）险（xiǎn）评估的结果（guǒ）来选（xuǎn）择控制措施。

II. 实施
选定了控制措（cuò）施后，便（biàn）需落实推行，同时也需制定程（chéng）序（xù）以（yǐ）确保能够（gòu）迅速察（chá）觉到事（shì）故的发生并作出回应，并确保所有员工都了解信息（xī）安（ān）全的重要（yào）性，且确保其接受了适当的（de）培训，及有（yǒu）能力执行他们负责的保安（ān）任务。此外（wài），还要妥善管理所（suǒ）需的资源。

III. 核（hé）查
核查的目的（de）是确保控（kòng）制（zhì）措施都（dōu）已推（tuī）行，并（bìng）能达到既定的目标。尽管有多种可行的核查方法，但只有内部审核（hé）与管理检讨（tǎo）是强制性的要求。

IV. 采取行动
      之后便需对（duì）核查结果（guǒ）采取（qǔ）适当的行动，相关的（de）行动可以是：
      修正
      预防
      改善

总结
ISO/IEC 27001:2005 标准为所有行业的机构都提（tí）供（gòng）了（le）一套（tào）业（yè）务工具，协助其避免信息保安的失误，从而降低了相应的风险。正式推行ISO/IEC 27001:2005 并取得有关认证（zhèng）的机构将受益匪浅，以下列举其中数项：
由于按（àn）照国际标准实施适当的控（kòng）制措施（shī），机构便能自（zì）行将信息保安的失误率降至较低（dī）
以系统化的方法处理符（fú）合（hé）法律的问题，从而减低（dī）所需承担的（de）法律责（zé）任风险
以系统化的方法计（jì）划及管理运营的持续性

增加客户、合作伙伴（bàn）和相关人士对机构的信心
提升营运收入，并为机构带来更多商机