赣县ISO27001信（xìn）息安全管理系统标准简（jiǎn）介（2）

您的当前位置：首页 >> 服务（wù）项目 >> 赣县（xiàn）ISO27001

赣县ISO27001信息安全管理（lǐ）系统标（biāo）准简介（jiè）（2）

所属（shǔ）分类：赣县ISO27001
点击次（cì）数：
发布日期：2021/06/17
在线询价

详细介绍

信息安全管理（lǐ）系（xì）统（tǒng）是运营风险整体管理系统（tǒng）的其中一部分，目（mù）的是建（jiàn）立、实施、推行、检讨、维持及改善信息安（ān）全。

机构在信息的机密性、完整性和可用性（xìng）三（sān）方面的目（mù）标各是什么呢？什么程度的风险是可接（jiē）受的？是否存在任何限制，如（rú）法律（lǜ）、法规或机构内部（bù）程序？信（xìn）息安全政策应该是一份由行政（zhèng）总监（jiān）签署认可的文件。控（kòng）制措施（shī）应采取由上至下的推行方式。

风险评估根据需要（yào）保护的信息和可接受的风险程度来（lái）识别真正的风险，并就这（zhè）些风险出现的可能（néng）性与其影响的严重性作出（chū）评估，从而辨别出机构需要管（guǎn）理的风险，即下图（tú）红色部分内（nèi）的风险。

风（fēng）险管理 / 风（fēng）险（xiǎn）处理
完成风险评估后，便（biàn）要决定如何处理这（zhè）些风险。

适用性（xìng）报告 (Statement of Applicability)
识别出所（suǒ）有的保安措施，指出哪些对（duì）机（jī）构而言是适用或不适用的，并（bìng）说明原因。须针对风险（xiǎn）评估（gū）的结果来选择控（kòng）制措施。

II. 实施
选定了控制措施后，便需落实推行，同时（shí）也需制（zhì）定程序以确保能够迅速（sù）察觉（jiào）到事故的发生（shēng）并作出回应（yīng），并确保所有员（yuán）工都了解（jiě）信息安（ān）全的重要性，且确（què）保（bǎo）其接受了适当的培训，及有能力（lì）执行（háng）他们（men）负责（zé）的保安（ān）任务（wù）。此外，还要妥善（shàn）管理所需的（de）资源。

III. 核查
核查的目的是确保控制措施都已推行，并能（néng）达到（dào）既定的目标。尽（jìn）管有多（duō）种可行的核查方法，但只有内部审核与（yǔ）管理检（jiǎn）讨是强制性的要求。

IV. 采取行动
      之后便需（xū）对核查结果采（cǎi）取适（shì）当（dāng）的行动，相关的行动可以是：
      修正
      预防
      改善

总结
ISO/IEC 27001:2005 标准为所有（yǒu）行业的机构都提供了一套业（yè）务工具（jù），协（xié）助其避免（miǎn）信（xìn）息保安的失（shī）误，从而降（jiàng）低了相应的风（fēng）险。正式推行ISO/IEC 27001:2005 并取（qǔ）得有关认证的机构将（jiāng）受益匪（fěi）浅，以下（xià）列举其中数项：
由于按照国际标准实（shí）施适当的（de）控制措施，机构（gòu）便能自行将信息保安的失误率（lǜ）降（jiàng）至较（jiào）低
以系统化的方法（fǎ）处理符合法律的问题，从而减低（dī）所需承（chéng）担的法律责任（rèn）风险
以系统化的方法计划及管理运营的持续性

增加客户、合作伙伴（bàn）和相关人士对（duì）机构的信心
提升营运（yùn）收入，并为机构（gòu）带来更（gèng）多商机