瑞昌ISO27001信息（xī）安全管理系统标（biāo）准（zhǔn）简（jiǎn）介（jiè）（2）

您的当前位置：首页（yè） >> 服务项目 >> 瑞昌ISO27001

瑞（ruì）昌ISO27001信息（xī）安全管理（lǐ）系统标（biāo）准简介（2）

所（suǒ）属分类：瑞（ruì）昌（chāng）ISO27001
点击次数：
发布日期：2021/06/17
在（zài）线询价

详细介绍

信息安全管理系统是运（yùn）营风（fēng）险整体管理系统（tǒng）的其中一部分，目的是（shì）建立、实（shí）施（shī）、推行、检讨、维持及改善（shàn）信（xìn）息安全。

机构（gòu）在信（xìn）息的机密性、完整性和可用性三方面的目（mù）标各（gè）是什（shí）么呢？什（shí）么程度的风险是可（kě）接受的（de）？是否存在（zài）任（rèn）何限制，如法律（lǜ）、法规（guī）或机构内（nèi）部程序？信息（xī）安（ān）全（quán）政策应该是一份由行政总监签署（shǔ）认可（kě）的文件。控制措（cuò）施应采取由上至下的推行方式。

风险评（píng）估（gū）根据需要保（bǎo）护（hù）的信（xìn）息（xī）和可接受的风险（xiǎn）程（chéng）度来识别真正的风险（xiǎn），并就这（zhè）些风险出现的可能（néng）性与其影响（xiǎng）的严重（chóng）性作出评估，从而辨别（bié）出机（jī）构需要（yào）管（guǎn）理的（de）风险，即下图（tú）红色部分内的风险。

风（fēng）险管理 / 风险处理
完成风险评估后，便要决定如何处理这些风险。

适用性报（bào）告 (Statement of Applicability)
识（shí）别出（chū）所（suǒ）有的（de）保安措施，指出（chū）哪些对机构而言是适用或（huò）不适用的，并说明原（yuán）因（yīn）。须针对（duì）风（fēng）险评估的结果来（lái）选（xuǎn）择控（kòng）制措施。

II. 实施（shī）
选定了控（kòng）制措施后，便需落实（shí）推行，同时也需制定（dìng）程序以确保能够迅速察觉到事故的发（fā）生并作出回（huí）应，并确保所有员工都了解信息安全的重要性，且确保其接受了适（shì）当的（de）培训，及（jí）有能力执行他们负（fù）责（zé）的保安任务。此外，还要妥（tuǒ）善（shàn）管理所需（xū）的（de）资源。

III. 核查
核查的目的是确保控制措（cuò）施都（dōu）已推行，并（bìng）能达到既定的目（mù）标。尽管有多种可行的核查方法（fǎ），但只有内部审核与（yǔ）管理检讨是强（qiáng）制性的（de）要求。

IV. 采取行动
      之后便需对核查（chá）结果采取适（shì）当的（de）行（háng）动，相关（guān）的行动可以是（shì）：
      修正
      预防
      改善

总结
ISO/IEC 27001:2005 标准为所有行业的机构都提供（gòng）了一套（tào）业务（wù）工（gōng）具，协助其避免信息保安的失（shī）误，从而（ér）降（jiàng）低了相应（yīng）的风险。正式推行（háng）ISO/IEC 27001:2005 并取得有关认证的机构将受益匪浅，以下列举其中数项：
由于按照国际（jì）标准实施适（shì）当的控制（zhì）措施，机（jī）构便能（néng）自行（háng）将信息保安的失误率（lǜ）降至较低（dī）
以系统（tǒng）化（huà）的方法处理（lǐ）符（fú）合法律的问题（tí），从而减低所需承（chéng）担的法律责任风险
以（yǐ）系统化的方法计划及管理运营的持续性

增加客（kè）户、合（hé）作伙伴和相关人士对（duì）机构的信（xìn）心
提升营运收入，并为机构带来更多（duō）商机