南康ISO27001信息安全管理系统标（biāo）准简介（2）

您的当前位置：首页 >> 服务项目 >> 南康ISO27001

南康ISO27001信息（xī）安全（quán）管理系统标准简（jiǎn）介（2）

所属分类：南康ISO27001
点击次（cì）数：
发布日期：2021/06/17
在（zài）线询（xún）价

详细（xì）介绍

信息安全管理系统是运营风险整体（tǐ）管理系统的其中一部分，目的（de）是建（jiàn）立（lì）、实施、推行（háng）、检讨、维（wéi）持及（jí）改善信息安全。

机（jī）构在信息的机密性、完整性和可（kě）用性三方面的目标各是什么呢？什么程（chéng）度的风险是可接受（shòu）的？是否存（cún）在任何限（xiàn）制，如法律、法规或机构内部程序？信息安（ān）全政策应该是一份由行政总（zǒng）监签署（shǔ）认（rèn）可（kě）的（de）文件（jiàn）。控制措施应采取由（yóu）上至（zhì）下（xià）的推行（háng）方式。

风险（xiǎn）评估根（gēn）据（jù）需要保护的信息（xī）和可接受的风险程度（dù）来识别真正的风险，并就（jiù）这些风险（xiǎn）出现（xiàn）的可能性与其影响（xiǎng）的严重性作出评估（gū），从而（ér）辨别（bié）出机（jī）构需（xū）要管理的风险，即下（xià）图红（hóng）色（sè）部分内的风险。

风险（xiǎn）管理 / 风险（xiǎn）处理
完成（chéng）风（fēng）险评估后，便要决（jué）定如何处理这（zhè）些风险。

适用性报告 (Statement of Applicability)
识别（bié）出所有的保（bǎo）安（ān）措施，指出哪（nǎ）些对机构而言（yán）是适用或不适用的，并说明原因。须（xū）针对风（fēng）险评估的结（jié）果（guǒ）来选择控制措施。

II. 实施
选定了控制措施（shī）后（hòu），便需（xū）落实推行，同时也需制定程序以确保能（néng）够迅速察（chá）觉（jiào）到事故的发生并作出回应，并确保（bǎo）所有员工都了（le）解（jiě）信息安全（quán）的重要（yào）性，且确保其接受（shòu）了适当的培（péi）训，及有能力执行他们负责（zé）的（de）保安（ān）任务。此（cǐ）外，还要妥（tuǒ）善管理所需的资源（yuán）。

III. 核查
核查的目的（de）是确保（bǎo）控制（zhì）措施都已推行，并能达到既定的目标。尽管有（yǒu）多（duō）种可行的核查方（fāng）法，但只（zhī）有内部审核与（yǔ）管理（lǐ）检讨是强制性的（de）要求（qiú）。

IV. 采取行动
      之（zhī）后便需对核查（chá）结果采取适当的行动，相关的行动可以是：
      修正
      预防
      改（gǎi）善

总结
ISO/IEC 27001:2005 标准为所有行业的机构都提（tí）供了一套业（yè）务工具（jù），协助其避免信息保安的失误（wù），从而降低了相应的（de）风（fēng）险。正式推行ISO/IEC 27001:2005 并（bìng）取得有关认证的机构将受益匪浅（qiǎn），以下列举（jǔ）其（qí）中数项：
由于按照国际标准实施适当的控制措施（shī），机构便能（néng）自行将信息保安（ān）的失（shī）误率降至较低
以（yǐ）系统化的方法处理（lǐ）符合（hé）法律的问题，从而减（jiǎn）低（dī）所需（xū）承担的法律（lǜ）责任风（fēng）险
以系（xì）统化的方法计划及管理运营的持续性（xìng）

增加客户、合作伙伴（bàn）和相关人士对机构的信（xìn）心
提（tí）升营运收入，并为机构（gòu）带来更多商机