ISO27001信息安（ān）全管理系统（tǒng）标准简介（2）

所属（shǔ）分类：ISO27001
点击次（cì）数：
发布日期：2021/06/17
在线询（xún）价

详（xiáng）细介绍

信息（xī）安全管理系（xì）统是运营风（fēng）险整体管理系统的其中一（yī）部分，目的是建立、实施、推（tuī）行、检讨、维持及改（gǎi）善信息安全（quán）。

机构在信息的机（jī）密性、完整性和可用性三方面（miàn）的目（mù）标各是什么呢？什么程度的风险是可接受的？是否存在任何限制，如法律（lǜ）、法规或机构内部程（chéng）序？信息安全政策（cè）应（yīng）该是一份由行政总监签署认可的文件（jiàn）。控制措施应采取由上（shàng）至（zhì）下的推行方式（shì）。

风险评（píng）估根据需要保护的信息（xī）和可接受的风险程度来识（shí）别真正的风险，并就这（zhè）些风险出现的（de）可能性（xìng）与（yǔ）其影响的严重性作出评估（gū），从而辨别出（chū）机构需要管（guǎn）理的风险，即下（xià）图红色部分内的风险。

风险管（guǎn）理 / 风险处理
完成（chéng）风险（xiǎn）评估后，便要（yào）决定如何处理这（zhè）些（xiē）风险。

适用性报告 (Statement of Applicability)
识别出所有（yǒu）的保安措（cuò）施（shī），指出哪些（xiē）对（duì）机构（gòu）而言是适用或不适用的（de），并说明原因（yīn）。须针对（duì）风险评估的结果来选（xuǎn）择控制措施。

II. 实施
选定了控制措（cuò）施后，便需落实推（tuī）行（háng），同时也（yě）需（xū）制定程序以确保能够迅速察觉到事故的发生并作出回（huí）应，并确保所有员工都了解信息（xī）安（ān）全的重要性，且确保其（qí）接（jiē）受（shòu）了适当（dāng）的培训，及有能力执行他们（men）负（fù）责的保安任务（wù）。此外，还要（yào）妥（tuǒ）善（shàn）管（guǎn）理所需的（de）资源（yuán）。

III. 核查
核（hé）查（chá）的目的是确保控制措（cuò）施都已（yǐ）推行，并能（néng）达（dá）到既定的目标。尽管（guǎn）有多（duō）种（zhǒng）可行的核查方法（fǎ），但只有内（nèi）部审核与管理检（jiǎn）讨是强制性的要求。

IV. 采取行动（dòng）
      之后（hòu）便（biàn）需对（duì）核（hé）查结（jié）果采（cǎi）取适当（dāng）的行动，相关的行动可以是（shì）：
      修正（zhèng）
      预防（fáng）
      改善

总结
ISO/IEC 27001:2005 标准为所有行（háng）业的机构都提供了一（yī）套业务工具，协助其（qí）避免信（xìn）息保安的失误，从而降低了相应的风险。正式推（tuī）行ISO/IEC 27001:2005 并取得有关认证的（de）机构将受益匪浅，以下列举其中（zhōng）数（shù）项：
由（yóu）于按照国际标准实施（shī）适当的（de）控（kòng）制措施，机构便能自行将信息保安（ān）的失误（wù）率降至较低（dī）
以系统化（huà）的方法处理符合（hé）法律的问（wèn）题，从而减低所需承担的法律责任风险
以系（xì）统化的方法计划及管理运营的持续性

增加客户（hù）、合作伙伴和相关人士对机构的信心
提升（shēng）营运收入，并为机构带（dài）来（lái）更（gèng）多商机