景德镇ISO27001信息安全（quán）管理系统标准简介（2）

您的当前位置：首页 >> 服务项目 >> 景德镇ISO27001

景德镇ISO27001信息安全管理系（xì）统标准简介（2）

所（suǒ）属（shǔ）分（fèn）类：景德镇（zhèn）ISO27001
点击次数：
发布日期：2021/06/17
在线询价

详细介绍

信息安全（quán）管理（lǐ）系统是运营风险整体管理系统（tǒng）的其中一（yī）部分，目的是（shì）建立、实施、推行、检讨、维持及（jí）改善信息安全（quán）。

机构在（zài）信息（xī）的机密性、完整（zhěng）性（xìng）和可用性三方面（miàn）的（de）目标（biāo）各是什么呢？什（shí）么程度的风险是可接（jiē）受的？是否存在任何限制（zhì），如法律、法（fǎ）规或机构（gòu）内部（bù）程序？信息安（ān）全政策应该是一（yī）份由行政总监（jiān）签署认可的文（wén）件。控制措施（shī）应采（cǎi）取由（yóu）上至下的推行方式。

风险评估根（gēn）据需（xū）要保（bǎo）护的（de）信息和（hé）可接受的风险程（chéng）度来（lái）识别真（zhēn）正的风险，并就这（zhè）些（xiē）风（fēng）险出现的可能性与其影响的严重性作出评估，从（cóng）而辨别出机构需要管理的（de）风险，即下图红（hóng）色部分内的风险。

风险管理 / 风险处理
完成风险评估（gū）后，便要决定如何处理这些风险。

适用性（xìng）报（bào）告 (Statement of Applicability)
识别出所（suǒ）有的（de）保安措施，指出哪些对机构而（ér）言是适用或不适用的（de），并说明（míng）原因。须针对风（fēng）险评估的结（jié）果来选择控制措施。

II. 实施（shī）
选定了控制（zhì）措施后，便需落实推行，同（tóng）时也需制定程序（xù）以确保能够迅速察觉到事故（gù）的（de）发生并作出（chū）回应，并确保（bǎo）所有员（yuán）工都了（le）解信息安全（quán）的重要性（xìng），且（qiě）确保其接（jiē）受了适当的培训，及有（yǒu）能力执行他们负责的保安任务。此外，还要妥善管理（lǐ）所需的资（zī）源。

III. 核查
核查的目的是确保控制措（cuò）施都（dōu）已推（tuī）行，并能达到既定的目标。尽（jìn）管有多种可行的核查方（fāng）法（fǎ），但（dàn）只（zhī）有内部审核与管理检讨是强制性的要（yào）求。

IV. 采取行（háng）动
      之后便（biàn）需对核查结果采（cǎi）取适（shì）当（dāng）的行动，相关（guān）的行动（dòng）可以是：
      修正
      预防
      改善

总结
ISO/IEC 27001:2005 标准为所有行业的机构都提供（gòng）了一套业务工具，协助其避（bì）免信息保安的失误（wù），从而降低了相应（yīng）的风险。正式推行ISO/IEC 27001:2005 并取得（dé）有关认证的机（jī）构将受益匪浅，以（yǐ）下（xià）列举其中数项：
由于按照国（guó）际标（biāo）准实施适当的控制措（cuò）施，机构便能自行将信（xìn）息保安的（de）失误率（lǜ）降至较低
以系统化的方法处理符合法律的问（wèn）题，从而减低所需承担的（de）法律责任风险
以系统化的方法计划及管理运营的持续性

增加客户、合作伙（huǒ）伴和（hé）相关（guān）人士对（duì）机构的信心
提升营运（yùn）收（shōu）入，并为机构带来（lái）更多商机（jī）