鹰潭ISO27001信息安全管理（lǐ）系统标准（zhǔn）简介（2）

您的当（dāng）前位置（zhì）：首页 >> 服（fú）务项目 >> 鹰潭ISO27001

鹰潭ISO27001信息安（ān）全（quán）管理系统标准（zhǔn）简介（2）

所属（shǔ）分类：鹰潭（tán）ISO27001
点击次数：
发布日（rì）期：2021/06/17
在线询（xún）价

详细介（jiè）绍

信息安全管（guǎn）理系（xì）统是（shì）运营风险整（zhěng）体管理系统的其中一部分，目的是建立、实施、推行、检讨、维持及（jí）改（gǎi）善信（xìn）息安（ān）全。

机构在（zài）信息的机密性、完整性和可（kě）用性三方面的（de）目标各是什么呢？什么程度（dù）的风（fēng）险是（shì）可接受（shòu）的？是否存在任（rèn）何限制，如法律、法规或机构内部程序？信息安全政策应该（gāi）是一份（fèn）由行政总监签（qiān）署认（rèn）可的文件。控制（zhì）措（cuò）施（shī）应采取由上至下的推行（háng）方式（shì）。

风险评估根（gēn）据（jù）需要（yào）保护（hù）的信息（xī）和可接受的风险程度来识别（bié）真（zhēn）正的（de）风险，并就这些风险出（chū）现的可能性与其影（yǐng）响的严重性作出评估，从而辨（biàn）别出机构需要管理（lǐ）的风险，即下图红色部分内的风险。

风险管理（lǐ） / 风险处理（lǐ）
完成风（fēng）险（xiǎn）评估后，便要决定如何处理这些风险。

适用性（xìng）报告 (Statement of Applicability)
识别出所有的保安措施，指出哪些对机构而（ér）言是适用或不（bú）适用的，并说明原因。须针对风险评估的结（jié）果来选择控制措施。

II. 实施
选定（dìng）了控制措（cuò）施后，便（biàn）需落（luò）实推行，同时也（yě）需制定程序（xù）以确保能够迅速察觉到事故的（de）发生并作出（chū）回应，并确保所（suǒ）有员工（gōng）都了解信息安全的重要性，且（qiě）确（què）保（bǎo）其（qí）接（jiē）受了适当的（de）培训，及有能力（lì）执（zhí）行他们负责的保安（ān）任务。此外，还要妥善管理所需的资源。

III. 核查
核查的（de）目的是确保控制措（cuò）施都已推行，并（bìng）能达到既定的目标。尽（jìn）管（guǎn）有多（duō）种可行的核查方法，但只有（yǒu）内部（bù）审（shěn）核与管（guǎn）理检讨是强制性的要求。

IV. 采取行动
      之（zhī）后（hòu）便需（xū）对核查结果（guǒ）采取适当的行动，相关（guān）的行动可以（yǐ）是：
      修正
      预防
      改善

总结
ISO/IEC 27001:2005 标（biāo）准为所有行（háng）业的机（jī）构都提供了一（yī）套业务工（gōng）具，协助其避免信息保安的失误，从而（ér）降（jiàng）低（dī）了相应的风险。正式（shì）推（tuī）行ISO/IEC 27001:2005 并取（qǔ）得有关认证的机构将受益匪浅（qiǎn），以下（xià）列举其（qí）中数项：
由于按照国际标（biāo）准实施适当的控（kòng）制（zhì）措施，机（jī）构便能自行（háng）将信息保安的（de）失误率降至较低
以系（xì）统化的（de）方法处（chù）理符合法律的问题，从而减（jiǎn）低（dī）所需（xū）承担（dān）的（de）法律（lǜ）责任风险
以系统化的方法（fǎ）计划及管理运营的持续性（xìng）

增加客户、合作伙伴和相关人（rén）士对机构的信心
提升营运（yùn）收入，并（bìng）为机（jī）构带来（lái）更多商机