赣州ISO27001信息安全管理系统（tǒng）标准简介（2）

您的当前位置：首页 >> 服务项（xiàng）目 >> 赣州ISO27001

赣州ISO27001信息安全管理（lǐ）系统（tǒng）标准简（jiǎn）介（2）

所属（shǔ）分类：赣（gàn）州ISO27001
点击（jī）次数：
发布日（rì）期：2021/06/17
在（zài）线询价

详细介绍

信息安全（quán）管理系统是运营风险整体管（guǎn）理系统的其中一部分，目的是建立、实（shí）施、推行、检讨、维（wéi）持及改善信息安全。

机（jī）构在信息的机（jī）密性（xìng）、完整性（xìng）和（hé）可用（yòng）性三方面的（de）目（mù）标各是（shì）什么呢？什么程（chéng）度的风险是可接受的？是否存在（zài）任何（hé）限制，如法律、法规（guī）或机（jī）构（gòu）内部（bù）程序？信息安（ān）全政策应该是一份由行政总监签署认可（kě）的文（wén）件。控制措施应采取由上至下的推（tuī）行（háng）方式。

风险评（píng）估根（gēn）据需（xū）要保护的信（xìn）息（xī）和可（kě）接受（shòu）的（de）风险（xiǎn）程度来识别真正的风险，并就（jiù）这些风险出（chū）现（xiàn）的可能性与其影响的严重性作出评估，从而辨别出机构需要管理（lǐ）的风险，即下图红（hóng）色部分内的（de）风险。

风险（xiǎn）管理 / 风险处理
完成风险评估后，便要决定如何处（chù）理这（zhè）些风险。

适（shì）用性报告 (Statement of Applicability)
识别出（chū）所有的保安措施，指出哪（nǎ）些对机（jī）构而言（yán）是（shì）适用或不（bú）适用的，并说（shuō）明原因。须针对风（fēng）险评（píng）估的（de）结果来（lái）选（xuǎn）择（zé）控制措施（shī）。

II. 实施
选定了控制措施后，便需落实推（tuī）行，同时也需制定程序以确（què）保能够迅速察觉到事（shì）故的发生并作出回应，并（bìng）确（què）保所有（yǒu）员工都了解（jiě）信息安全（quán）的重要性，且（qiě）确保其接（jiē）受了适当的培训，及有能力执行他们负责的保安任务。此外，还（hái）要妥善管理所需的资源。

III. 核查
核查（chá）的目的（de）是确保控（kòng）制措施都（dōu）已推行，并能达到既定的目标。尽管有多种可行的核查方法，但只有内部审（shěn）核与管理（lǐ）检讨是强制性的要（yào）求。

IV. 采取（qǔ）行动
      之后便需对（duì）核查结果采取（qǔ）适当的（de）行动，相（xiàng）关的（de）行动可以是：
      修正
      预防
      改善

总结
ISO/IEC 27001:2005 标（biāo）准为所有行（háng）业的机构都提（tí）供了一套业务工具，协助（zhù）其避免信息保安的失误，从而降低了相应的风（fēng）险（xiǎn）。正式推行ISO/IEC 27001:2005 并取得有关认证的机（jī）构将受益匪浅，以下列举其（qí）中数项：
由于按（àn）照国际（jì）标准实施适（shì）当的控制措施，机构便能自行将信（xìn）息保安的失误率降至较低
以系统化的方法处理符合法律的问题，从而减低所需承（chéng）担（dān）的法律责（zé）任风险
以系统化的方法计划及管理（lǐ）运营的持续性

增加（jiā）客户、合作伙伴和相关人士（shì）对机构（gòu）的信心
提升营运收（shōu）入，并为（wéi）机构带来更多商机