新（xīn）余ISO27001信（xìn）息安全管（guǎn）理系（xì）统（tǒng）标准简介（2）

您的当（dāng）前位置：首页（yè） >> 服务项（xiàng）目 >> 新余ISO27001

新余ISO27001信息安全管理系统标准简介（2）

所属（shǔ）分类：新余ISO27001
点击次（cì）数：
发布日期：2021/06/17
在（zài）线询价

详细介绍

信息安全管理系统是（shì）运营风（fēng）险整体管理系统（tǒng）的（de）其（qí）中一部分（fèn），目的是建（jiàn）立、实施、推行（háng）、检讨、维持及改善信息安全。

机（jī）构在信息的机密性、完（wán）整性和可用性三方面的目标各是什么呢？什么程度的（de）风险是（shì）可接受的？是否（fǒu）存在任何限制（zhì），如法律、法规或（huò）机构内部程（chéng）序（xù）？信息安全政策应该是一（yī）份由（yóu）行政总（zǒng）监签（qiān）署（shǔ）认（rèn）可（kě）的文件。控制措施（shī）应采（cǎi）取由上至下（xià）的推行方式。

风险评（píng）估（gū）根据需要保护的信（xìn）息和可接受的风险（xiǎn）程度来识别（bié）真正的风险，并（bìng）就这些风险出（chū）现的可能性（xìng）与其影响的严重性作（zuò）出评估，从而辨别出机构需要管理的风（fēng）险，即下图红色部分内的风险。

风险管理 / 风险处理（lǐ）
完成风（fēng）险评估后，便要决（jué）定如（rú）何处理这些风险。

适用性报告（gào） (Statement of Applicability)
识别（bié）出所有（yǒu）的保安措（cuò）施，指出哪些对机构而言是适用或不（bú）适（shì）用的，并说明原因。须针对风险（xiǎn）评估的结果来选择控制措施。

II. 实施
选定（dìng）了控制措施（shī）后，便需落实推行，同（tóng）时（shí）也需制定程序以确保能够迅速察觉到（dào）事故的发生并作出（chū）回应，并确保所有（yǒu）员工都了（le）解信息安全的重（chóng）要性，且确保（bǎo）其（qí）接受了适当的（de）培训，及（jí）有能力执行他们负责的保安任务。此外，还（hái）要（yào）妥善管理所需（xū）的（de）资源。

III. 核查
核查的目的是（shì）确保控（kòng）制措施都已推行，并能达到既定的目标。尽管有多种可行的核查（chá）方法（fǎ），但只有内部审（shěn）核（hé）与（yǔ）管（guǎn）理检（jiǎn）讨是强（qiáng）制（zhì）性的要求。

IV. 采取行动（dòng）
      之后便（biàn）需对核（hé）查结果采取适当（dāng）的行动，相关的行动可（kě）以是：
      修正
      预防
      改（gǎi）善

总结
ISO/IEC 27001:2005 标（biāo）准为所有行（háng）业的机构都（dōu）提（tí）供了一（yī）套业务工（gōng）具，协（xié）助其避（bì）免信息保安的失误（wù），从而（ér）降低了相应的风险。正（zhèng）式推行ISO/IEC 27001:2005 并取（qǔ）得有关认证的机构将（jiāng）受益匪浅，以下（xià）列举其（qí）中（zhōng）数项：
由于按照国际标（biāo）准实（shí）施适（shì）当的控制措（cuò）施，机构便能自行（háng）将信（xìn）息保（bǎo）安（ān）的（de）失误率降至较低（dī）
以系统化的方法处理符合法（fǎ）律的（de）问题，从而减低所需承担的法律责任风（fēng）险
以系统（tǒng）化的方法（fǎ）计划及管理运营的持续（xù）性（xìng）

增加客户、合作伙（huǒ）伴和相（xiàng）关人士对机构的信心（xīn）
提升营运收入，并为（wéi）机构带来更多商机（jī）