萍乡ISO27001信息安全管理（lǐ）系统标（biāo）准（zhǔn）简介（2）

您的当前位置：首页 >> 服务项目 >> 萍乡ISO27001

萍乡ISO27001信息安全（quán）管理系统（tǒng）标准简介（2）

所属分类：萍乡ISO27001
点击次数（shù）：
发布日期：2021/06/17
在线询价（jià）

详细介绍

信息安全管理系统是运营风（fēng）险整（zhěng）体管（guǎn）理系统的其（qí）中（zhōng）一部分，目的（de）是建立、实施、推行、检讨、维持及改善（shàn）信息（xī）安全。

机构在信息的机密性、完整性和（hé）可（kě）用性（xìng）三（sān）方面的目标各是什么呢（ne）？什么程度（dù）的风险是可接受的？是否（fǒu）存在任何限制，如法律、法规或机构（gòu）内部程序？信息安全政策应该是（shì）一份由行政总监签署认可的文件。控（kòng）制措施应采（cǎi）取由上（shàng）至下的推行方式（shì）。

风险（xiǎn）评估根据需要保护的信息和可（kě）接受的风险（xiǎn）程度（dù）来识别真正的风险，并就这（zhè）些风险出（chū）现的可能性与其（qí）影（yǐng）响的严重性（xìng）作出评估（gū），从（cóng）而辨别出机构需要（yào）管理的风险，即下图红色部分（fèn）内（nèi）的风险（xiǎn）。

风险管理 / 风险处理
完成风险评估后，便要决定如何处理这些（xiē）风险（xiǎn）。

适用性报（bào）告 (Statement of Applicability)
识别出所有的（de）保（bǎo）安措施，指出（chū）哪些对（duì）机（jī）构（gòu）而言是（shì）适用或不适用的，并（bìng）说明原因。须针（zhēn）对风险评估的结果来选择控制措施。

II. 实施（shī）
选（xuǎn）定（dìng）了控制措施后（hòu），便需落实推（tuī）行，同时（shí）也需制定程序（xù）以确保能够迅速察觉到事故的发生并作出回应（yīng），并确保（bǎo）所有员工都了解信息安全的重要性，且确（què）保其接（jiē）受了适当的培训，及有能力执行他们（men）负责的保安任务。此外，还要妥（tuǒ）善管理所需的资源。

III. 核查
核查的目（mù）的是确保控制措施都已推（tuī）行，并能达到既定的目标。尽（jìn）管有多种可行的核查方法，但只有内部审核（hé）与管（guǎn）理检讨是强（qiáng）制性（xìng）的要求。

IV. 采取（qǔ）行动
      之后便需对（duì）核（hé）查结果采取适当的行动，相关的行动可以是（shì）：
      修正
      预防
      改善

总结
ISO/IEC 27001:2005 标准为所有行（háng）业（yè）的机（jī）构都提供了一套（tào）业（yè）务工（gōng）具，协助其避免（miǎn）信息保安的（de）失（shī）误，从而降低了相应的（de）风险。正式推行ISO/IEC 27001:2005 并取（qǔ）得有关（guān）认证（zhèng）的机构将受益匪浅，以下列举其中数项：
由（yóu）于按照国际标准实施适（shì）当的（de）控制措施，机构便（biàn）能自（zì）行（háng）将信息保安的失误（wù）率降（jiàng）至较低
以（yǐ）系统化的方法处理符合法（fǎ）律的问题，从而（ér）减低所需承担（dān）的法律责（zé）任风险（xiǎn）
以系统化的（de）方法（fǎ）计划（huá）及（jí）管理运营的持续性

增加客户、合作（zuò）伙（huǒ）伴（bàn）和相关人士对（duì）机构（gòu）的信心（xīn）
提升营运收入，并为（wéi）机构带来更多商机