江（jiāng）西（xī）ISO27001信息安全管理系（xì）统标准简介（2）

您（nín）的当前位置：首页 >> 服务项目 >> 江西ISO27001

江（jiāng）西（xī）ISO27001信息安全管理（lǐ）系（xì）统标准简介（2）

所属分（fèn）类：江西ISO27001
点击次（cì）数（shù）：
发布日（rì）期：2021/06/17
在线询价

详细介绍

信（xìn）息安全（quán）管理系统（tǒng）是运营风（fēng）险整体管理系（xì）统的其中一部分（fèn），目的（de）是建立、实施、推行、检讨、维持及改善信息安（ān）全。

机构在信息的机密性、完整性和可用性三方面（miàn）的（de）目标各是什么呢（ne）？什么（me）程度（dù）的（de）风险是可接受（shòu）的？是否存在（zài）任何限制，如（rú）法律、法规或机构内部程序？信息安（ān）全政策应该（gāi）是（shì）一份由行政总（zǒng）监签（qiān）署认（rèn）可（kě）的文件。控（kòng）制措施应采取由上（shàng）至下的推（tuī）行方（fāng）式。

风险评（píng）估根据需要（yào）保护的信息和可接受的风险程度（dù）来识别真正的风险（xiǎn），并就这些风险出现的可（kě）能性与（yǔ）其影响（xiǎng）的严重性（xìng）作出评（píng）估，从（cóng）而辨别出（chū）机构需要管理（lǐ）的风险，即下图红色（sè）部（bù）分内的风险。

风险管（guǎn）理（lǐ） / 风险处理
完成风险评估后，便要决定如何（hé）处（chù）理这些（xiē）风险。

适用性报告 (Statement of Applicability)
识别（bié）出（chū）所（suǒ）有的保安措施，指出哪些对机构而（ér）言是适用或不适用（yòng）的，并说明原因。须针对风险评估（gū）的（de）结果来选择控制（zhì）措施。

II. 实施
选定了（le）控（kòng）制措（cuò）施后，便需落实推（tuī）行，同时也需制定程序以确保（bǎo）能够（gòu）迅速（sù）察觉到事故的（de）发生并作（zuò）出回应，并（bìng）确保所有员工都了解信息（xī）安全的重要性，且确保（bǎo）其接受了适当的培训，及有（yǒu）能力（lì）执行他们负（fù）责的保安任务。此外，还要妥善管理所需的资源。

III. 核查
核查的目的是确保控制措施（shī）都已推（tuī）行，并能达到既定的目（mù）标。尽管有多种（zhǒng）可行的核查方法，但（dàn）只有内部审核与（yǔ）管理检讨是（shì）强制（zhì）性的要求。

IV. 采（cǎi）取（qǔ）行动
      之后便需（xū）对核查结果采（cǎi）取适（shì）当的（de）行动，相关的行动（dòng）可以是：
      修正（zhèng）
      预防
      改善

总结
ISO/IEC 27001:2005 标准为所有行业的机构都提供了一套业务工具，协（xié）助其避免信息（xī）保（bǎo）安的（de）失误，从而降低（dī）了相应的风险。正式推行ISO/IEC 27001:2005 并（bìng）取得有关认证的机构将受益（yì）匪浅，以下列举其中数项：
由于按照（zhào）国际标准实施适当的控制措施（shī），机构（gòu）便能（néng）自行将信息保安的（de）失误率（lǜ）降（jiàng）至较低
以系统化的方法处理符（fú）合（hé）法律的（de）问题，从而减（jiǎn）低所需（xū）承担的（de）法（fǎ）律责任（rèn）风险
以系统化的方法计划及管理运营（yíng）的持续性

增加客户（hù）、合作伙（huǒ）伴和相关人士对机构的信心
提升营运收入（rù），并为机构带来更多商机