宜春（chūn）ISO27001信息安（ān）全管理系统标准简介（2）

您的当前位置：首页 >> 服务项目 >> 宜春（chūn）ISO27001

宜春ISO27001信（xìn）息安全管理（lǐ）系（xì）统标（biāo）准简介（2）

所（suǒ）属分类：宜春ISO27001
点击次数（shù）：
发布日期：2021/06/17
在线询价（jià）

详细介绍

信息安全管理（lǐ）系（xì）统是运营风险整体管（guǎn）理系统的其中一部分，目的是建立、实施、推行、检讨、维持及改善信息安全。

机构在信息的机密性、完整性和可用性三方面的目标各（gè）是什么呢？什么程（chéng）度的风险是可接受的？是（shì）否存在任（rèn）何（hé）限制，如法律、法规或机构内部程（chéng）序？信息安全政策应该（gāi）是一份由行政总监签署认可（kě）的（de）文件。控制措施应采取由上至下的推行方式（shì）。

风险评估（gū）根（gēn）据需要保（bǎo）护的信息（xī）和（hé）可接受的风险程（chéng）度来识别真（zhēn）正的风险，并（bìng）就这些风险出现（xiàn）的（de）可能性与其（qí）影响的严重性作出评估（gū），从而辨别出机（jī）构需（xū）要管理的风险（xiǎn），即下图红色（sè）部分内的风险。

风险管理 / 风险处理
完成风险评（píng）估后，便（biàn）要决（jué）定（dìng）如何处（chù）理（lǐ）这些风险。

适用性报（bào）告 (Statement of Applicability)
识别（bié）出所有的保安措施，指出哪些对机（jī）构而言是适用或不适（shì）用的，并说明原因（yīn）。须针对（duì）风险（xiǎn）评估的结果（guǒ）来选择（zé）控制措施。

II. 实施
选定了（le）控制措施后，便需落实（shí）推（tuī）行（háng），同时也需制定程序（xù）以确保能够迅速察（chá）觉到事故的发生并（bìng）作（zuò）出（chū）回（huí）应，并确保（bǎo）所有员工都了解（jiě）信息（xī）安（ān）全的重要性，且确保其接受（shòu）了适当的（de）培训，及（jí）有（yǒu）能力执行他们负（fù）责的保（bǎo）安任务。此（cǐ）外，还要妥善管理（lǐ）所需（xū）的资源。

III. 核查
核查的（de）目的是确保控制措施都已（yǐ）推行，并能（néng）达到既定的目标。尽管有多种可行（háng）的（de）核查方法，但只有内（nèi）部审核与管理检讨是强（qiáng）制性（xìng）的要求。

IV. 采取行动
      之后便需对核（hé）查结果采取适当的（de）行动，相关的行动可以（yǐ）是：
      修（xiū）正（zhèng）
      预防
      改善

总结
ISO/IEC 27001:2005 标准为（wéi）所有行业的机构都提（tí）供了一套业务工具，协助其避免信（xìn）息保安（ān）的失误，从而降低了相应（yīng）的风险。正式推行ISO/IEC 27001:2005 并取得（dé）有关认证的机构将受益匪浅，以下列（liè）举其（qí）中数项：
由于（yú）按（àn）照国际标准实施适当（dāng）的控制措施，机构（gòu）便（biàn）能自行将信息保（bǎo）安的失误（wù）率降（jiàng）至较低（dī）
以系统化的方法处理（lǐ）符合法律的问（wèn）题（tí），从而减低所需承担的法律责任（rèn）风险
以（yǐ）系（xì）统化的方法计（jì）划及管理（lǐ）运营的持（chí）续性

增加（jiā）客户、合作伙（huǒ）伴和（hé）相关人士对机构的（de）信心（xīn）
提升营运收入（rù），并为（wéi）机构带来更多商机