萍乡ISO27001信息安（ān）全管理系统标准简介（2）

您的当（dāng）前位置：首（shǒu）页 >> 服务项目（mù） >> 萍乡（xiāng）ISO27001

萍（píng）乡ISO27001信（xìn）息（xī）安全（quán）管理（lǐ）系统标准（zhǔn）简介（2）

所属分类：萍乡ISO27001
点击次数：
发（fā）布日期：2021/06/17
在线询价（jià）

详细介绍（shào）

信息（xī）安全管理系统是（shì）运营风险整体管理（lǐ）系统的其中（zhōng）一部分（fèn），目（mù）的（de）是建立、实（shí）施、推行、检（jiǎn）讨、维持及（jí）改善信息安全。

机构在信息（xī）的机密性、完整性和可用性三方面（miàn）的目（mù）标各（gè）是什么呢（ne）？什么程度的风（fēng）险是可（kě）接受的？是否存（cún）在任何限制，如（rú）法律、法规或机构内部（bù）程序？信息安全（quán）政策应该是（shì）一份由（yóu）行政总监签署认可的文件。控制措施应采取由上至（zhì）下的推行（háng）方式。

风险评估根（gēn）据需要保护的信息和可接受的（de）风险程（chéng）度来识别真正的风（fēng）险（xiǎn），并就这些风险（xiǎn）出现的可能性与其影响的严（yán）重性作出评估，从而辨别（bié）出机构需要管理的风险，即下图红（hóng）色部（bù）分内的风险。

风险管（guǎn）理 / 风险处理
完成风险评估后，便要（yào）决定如何处理这些风险。

适用（yòng）性报（bào）告 (Statement of Applicability)
识别出所有的保安措施（shī），指出哪些对机构（gòu）而言（yán）是适用或不适用的，并说明原因。须针对风险（xiǎn）评估（gū）的结果来选（xuǎn）择（zé）控制措施。

II. 实施
选定了控（kòng）制措施后，便需落实推行，同（tóng）时也需（xū）制（zhì）定（dìng）程序（xù）以确（què）保能够迅速察觉到（dào）事故（gù）的发生并（bìng）作出回应，并确保所有员工都（dōu）了解信息安全的（de）重要性（xìng），且确（què）保其接受（shòu）了适当的培训，及有能力执行他们负（fù）责的保安任（rèn）务。此（cǐ）外（wài），还要妥善管理所需的资源。

III. 核查
核查的目的是（shì）确保控制（zhì）措施都已推行，并能达（dá）到既（jì）定（dìng）的目标（biāo）。尽管（guǎn）有（yǒu）多种可行的核查方法，但只有内部审（shěn）核与管理检讨是强制性的要求（qiú）。

IV. 采取行（háng）动
      之后便需对核查（chá）结果采取适当的行（háng）动，相关的行动（dòng）可以（yǐ）是：
      修正
      预防（fáng）
      改善

总结
ISO/IEC 27001:2005 标准（zhǔn）为所有行业的机构都提供了一套业务（wù）工具，协助其避免信息保安（ān）的失误，从（cóng）而降低了相应（yīng）的风险。正式推行ISO/IEC 27001:2005 并取得（dé）有（yǒu）关认证的机构（gòu）将受益匪浅，以下列举其中数项：
由于（yú）按照国际（jì）标准实施适当的（de）控制措施，机构便能自行将信息（xī）保安的失误率（lǜ）降至较低
以系统化的方法处理符（fú）合法律的问题，从而减低所需（xū）承担的法律（lǜ）责任风险
以系统（tǒng）化的方法计划及管理运营的持续性

增加客户、合作伙伴和相关人士对机（jī）构（gòu）的信心
提升营运收入，并为机构带来更多商机