江西（xī）ISO27001信（xìn）息安全管理系统标准简介（2）

您的（de）当前位置：首页 >> 服务项目 >> 江（jiāng）西ISO27001

江西ISO27001信息安全（quán）管理系统（tǒng）标准简介（jiè）（2）

所属分类：江（jiāng）西ISO27001
点击次数：
发布日期：2021/06/17
在线（xiàn）询价

详细介绍（shào）

信（xìn）息安（ān）全管（guǎn）理系（xì）统是运（yùn）营风险（xiǎn）整体管理（lǐ）系统的其中一（yī）部分，目的是建（jiàn）立、实施（shī）、推行、检讨、维持及改善（shàn）信（xìn）息安全。

机（jī）构在信息的机（jī）密性、完整（zhěng）性（xìng）和（hé）可用性三方面（miàn）的（de）目标各是什么呢？什么（me）程度（dù）的风（fēng）险（xiǎn）是可（kě）接受（shòu）的？是否存在任何限制，如法律（lǜ）、法规或机构内部（bù）程序（xù）？信息安全政（zhèng）策应该是一份由行政总监（jiān）签署认可的文件。控（kòng）制措施应采取由上至下（xià）的推行方式。

风险评（píng）估（gū）根据需要（yào）保护的（de）信息（xī）和可接受（shòu）的风险程度来识别真正（zhèng）的风（fēng）险，并（bìng）就这些风险出现的可能性与其影响（xiǎng）的严重性作出（chū）评估，从而（ér）辨别出机（jī）构需要管理的风险，即（jí）下图红色部分（fèn）内的风险。

风险（xiǎn）管理 / 风（fēng）险处理
完成风险评估后，便要决定如何处理这些（xiē）风险。

适用（yòng）性报告 (Statement of Applicability)
识别（bié）出所有（yǒu）的保安措施，指（zhǐ）出哪些（xiē）对机构而言（yán）是适用或不适用（yòng）的，并说明原因。须针对风险评估的结果来选择控制措施（shī）。

II. 实施
选定了控制措施后，便（biàn）需落实推行，同时（shí）也需制定程序以确保能够迅速察觉到事故的发生并作（zuò）出回应（yīng），并确保所有员工都（dōu）了解信息安（ān）全的（de）重（chóng）要性，且确（què）保其接受了适当的（de）培训（xùn），及（jí）有能力执行（háng）他（tā）们负责的保安任务。此外，还要妥善管理（lǐ）所（suǒ）需的资（zī）源。

III. 核查
核查的目的（de）是确（què）保控制（zhì）措施都已推行，并能达到既定（dìng）的目标。尽管有多种可行（háng）的核（hé）查（chá）方法（fǎ），但只有内部审核与管理检讨是强制性（xìng）的（de）要求。

IV. 采取（qǔ）行（háng）动（dòng）
      之后便需对（duì）核查结果（guǒ）采取（qǔ）适当（dāng）的行（háng）动（dòng），相关（guān）的行动可以是：
      修正
      预防
      改善

总结
ISO/IEC 27001:2005 标准为所有行业的机（jī）构都提供了一套业务工具，协助其避免信（xìn）息保（bǎo）安的失误，从（cóng）而降低了相应的风险。正式推行ISO/IEC 27001:2005 并取得有关（guān）认证的机（jī）构将（jiāng）受益匪（fěi）浅，以下列（liè）举其中（zhōng）数项：
由于按照国际标准实施（shī）适（shì）当的控制措施（shī），机构便能自行将信息保安（ān）的（de）失误（wù）率降至较低（dī）
以系统化的方法处理符（fú）合法律的问（wèn）题，从而减低所需承担（dān）的法（fǎ）律责任风险
以系（xì）统（tǒng）化的方法计（jì）划及管理运营的持续性（xìng）

增加客户、合作伙伴和相（xiàng）关人（rén）士对机构的信心（xīn）
提升营（yíng）运收（shōu）入，并为（wéi）机构带来更多商机