南昌ISO27001信息安全管（guǎn）理系统标准简介（jiè）（2）

您的（de）当前位置：首页 >> 服务项目 >> 南昌ISO27001

南昌ISO27001信息安全管理系（xì）统标准简介（2）

所属分类：南昌ISO27001
点击次数：
发布日期：2021/06/17
在线询价

详细介（jiè）绍（shào）

信息安全管理（lǐ）系统是（shì）运（yùn）营风险整体（tǐ）管理（lǐ）系（xì）统的其中一部分，目的是建立、实施（shī）、推行、检讨、维持及（jí）改善信（xìn）息安全。

机（jī）构在信息的（de）机密性、完整（zhěng）性和可用性三方面的目标（biāo）各是（shì）什么呢？什么程度的风险是可接（jiē）受的？是否存在任何限制，如法律、法规或机构内部（bù）程（chéng）序？信息安全政策应该是一份由行政总监签署认可（kě）的文件。控制（zhì）措施（shī）应采取由上至（zhì）下的（de）推行方式。

风险评（píng）估根据需要保护的信息和可接受（shòu）的风险程度来识（shí）别真正的风险（xiǎn），并就这些风（fēng）险出现的可能性与其影响的严重性作出评估，从（cóng）而辨别出机构需要管（guǎn）理的风险（xiǎn），即下图红色部（bù）分内的风险（xiǎn）。

风险管理 / 风险（xiǎn）处理（lǐ）
完成风险评估后，便要决定如何（hé）处（chù）理这些风险。

适（shì）用性报告 (Statement of Applicability)
识别出所有的保（bǎo）安措（cuò）施，指（zhǐ）出（chū）哪些对机构而言是（shì）适用或（huò）不适用（yòng）的，并说（shuō）明原因。须针对（duì）风（fēng）险评估的结果（guǒ）来选择控制（zhì）措（cuò）施。

II. 实施
选定了控制措（cuò）施后，便（biàn）需落实推行，同时也需制定程序以确（què）保（bǎo）能够迅速察觉到事故的发生并（bìng）作出（chū）回应，并确（què）保所有员工都了解信息（xī）安全（quán）的重（chóng）要（yào）性，且确保其接受了适当的培训，及有能力执行他们（men）负责的保（bǎo）安任务。此外，还（hái）要（yào）妥善管理所需的资源。

III. 核查
核查的目的是确保控（kòng）制措施都已推行（háng），并（bìng）能达到既定的目标（biāo）。尽（jìn）管有多种可行的核（hé）查方法（fǎ），但只有内部审（shěn）核与管理检讨是强制（zhì）性的要求（qiú）。

IV. 采取（qǔ）行动
      之后便需对核查结果采取适（shì）当的行动，相关（guān）的（de）行动（dòng）可以是：
      修（xiū）正（zhèng）
      预防
      改善（shàn）

总（zǒng）结
ISO/IEC 27001:2005 标准为所有行业的机构都提（tí）供了一套业务工具，协助其避（bì）免信息保（bǎo）安的失误，从（cóng）而降低（dī）了相（xiàng）应的风险。正（zhèng）式推行ISO/IEC 27001:2005 并取（qǔ）得有关认证的机构将受益匪浅，以下列（liè）举其（qí）中数项：
由于按（àn）照国际标准实施（shī）适当的（de）控（kòng）制措施，机构便（biàn）能自行将信息（xī）保安（ān）的（de）失误率降至较低
以系统化的方法处理符（fú）合法律的（de）问题，从而减（jiǎn）低所需（xū）承担（dān）的（de）法律责任风险
以系统化的方（fāng）法计划及管理运（yùn）营（yíng）的持续（xù）性

增加客户、合作伙伴（bàn）和相关人士对机构的信心
提升（shēng）营运收入，并为机构带来更（gèng）多（duō）商机