上饶ISO27001信息安（ān）全管理系（xì）统标准简介（2）

您的当前位置：首页（yè） >> 服务项目 >> 上（shàng）饶（ráo）ISO27001

上饶（ráo）ISO27001信（xìn）息安全管理系统标准简介（2）

所属（shǔ）分类：上（shàng）饶ISO27001
点击（jī）次（cì）数：
发布日期：2021/06/17
在（zài）线询价（jià）

详细介绍（shào）

信息安全管（guǎn）理系统是运（yùn）营风（fēng）险整体管理系统的其中一部分，目（mù）的（de）是建立、实（shí）施、推行、检讨、维持（chí）及（jí）改善信息安全。

机构在信息的机密性、完整性和可用性三方面的目标各是什么呢？什么程度的（de）风（fēng）险（xiǎn）是可接受（shòu）的？是否存在任何限制，如法律（lǜ）、法（fǎ）规或机构内（nèi）部程序？信息安全政策应该是一份（fèn）由（yóu）行政总监签署认可的文件。控制措施应采取由（yóu）上至（zhì）下的推行方式。

风险评估根据需要（yào）保护的信息和可接受的风险程度来识（shí）别真正的风险，并就这些（xiē）风险出现的可（kě）能性与其影响的（de）严重（chóng）性作（zuò）出评估，从而辨（biàn）别出机构需（xū）要管（guǎn）理的风险，即下图红色部分内的风险。

风险管理 / 风险处理
完成风险评估后，便要决定如何处理这（zhè）些风险。

适用性报告 (Statement of Applicability)
识别出所有的（de）保安措施，指（zhǐ）出哪（nǎ）些对（duì）机（jī）构而言是适用或不适用（yòng）的，并（bìng）说明原因。须针对风险评估的结（jié）果来选择控制措（cuò）施。

II. 实施（shī）
选定了控制措施后，便（biàn）需（xū）落实推行，同（tóng）时（shí）也（yě）需制定程序以确保能够迅速（sù）察觉到（dào）事故的发（fā）生并（bìng）作（zuò）出回应（yīng），并确（què）保所有员工都（dōu）了（le）解（jiě）信息安全（quán）的重要（yào）性，且（qiě）确保（bǎo）其接（jiē）受了（le）适当的培训，及（jí）有能力执行他们负（fù）责的保（bǎo）安任务。此外，还要（yào）妥（tuǒ）善管（guǎn）理（lǐ）所（suǒ）需的资源。

III. 核查
核查的目的是确保控（kòng）制措施（shī）都已推（tuī）行，并能达（dá）到既（jì）定（dìng）的目标。尽管有多种可行的核查方法，但只有内部审核（hé）与管理检讨是（shì）强制性的要求。

IV. 采取行动
      之后便需（xū）对核查结果采取适当（dāng）的行动，相关的行（háng）动可以（yǐ）是：
      修正
      预防
      改善

总结
ISO/IEC 27001:2005 标准为所有行业的机构都提供了一套业务工具，协（xié）助其避免信息保（bǎo）安（ān）的失误，从而（ér）降（jiàng）低（dī）了相（xiàng）应的风险。正式推行ISO/IEC 27001:2005 并取得（dé）有关（guān）认证的机（jī）构（gòu）将受（shòu）益匪浅，以下列举其中数项：
由于按照国际标准（zhǔn）实（shí）施适当的控（kòng）制措施，机构便能自行将信（xìn）息保安的失误率（lǜ）降至较低
以系统化的（de）方法（fǎ）处理符合法律（lǜ）的问题，从而减低所需承担的法律责任风险
以系统化（huà）的方法计划及管理运营（yíng）的持续性（xìng）

增加客户（hù）、合作伙伴（bàn）和相（xiàng）关人士对机构的信心
提升（shēng）营运收入，并（bìng）为机构带（dài）来（lái）更多商机