庐山ISO27001信息安（ān）全管理系统标准简介（2）

您的（de）当前位置：首页 >> 服务项目 >> 庐山ISO27001

庐山ISO27001信息安全管理（lǐ）系统标准简介（2）

所属分类：庐山ISO27001
点（diǎn）击次数：
发（fā）布日（rì）期：2021/06/17
在线询价

详细介绍

信息安全管理系统是运（yùn）营风险整体管理（lǐ）系统的其中一部分，目的是建立、实施、推行、检讨、维（wéi）持及改善信息安全。

机构（gòu）在信息的机密性、完整性（xìng）和可（kě）用性三方面的（de）目标各是什么呢？什么程度的风险（xiǎn）是可接受的（de）？是（shì）否存在（zài）任何限制，如法律、法规或（huò）机构（gòu）内部程序？信息安全政策应该是一份由（yóu）行（háng）政总监签署认可的文件（jiàn）。控制措施应采（cǎi）取由（yóu）上至（zhì）下的推行（háng）方式。

风险评估根据需要保护的信息（xī）和（hé）可接受的风（fēng）险程（chéng）度（dù）来识别真正的风（fēng）险（xiǎn），并就这些风险出现（xiàn）的（de）可（kě）能性与其影（yǐng）响的严重性（xìng）作（zuò）出评（píng）估，从而辨别出机构（gòu）需要管理（lǐ）的风险，即下图红色部分内的（de）风险。

风险管理 / 风险（xiǎn）处（chù）理
完（wán）成风险评估后，便要决（jué）定如（rú）何处（chù）理这些风险（xiǎn）。

适用（yòng）性报告 (Statement of Applicability)
识别出所（suǒ）有的保（bǎo）安措施，指出（chū）哪些对机构而言是适用（yòng）或不适用的，并说明原（yuán）因。须针对风险评估的结果（guǒ）来选（xuǎn）择（zé）控制措（cuò）施。

II. 实施
选定了控制措施后，便需落实推行，同时也需（xū）制定程（chéng）序以（yǐ）确保能够迅（xùn）速（sù）察觉到事故的发生并作出回应，并（bìng）确保所有员工都了解（jiě）信息安全的重要性，且确保其接受了（le）适当的培训（xùn），及有能力执行（háng）他（tā）们负责的保安（ān）任（rèn）务。此（cǐ）外，还要妥善管（guǎn）理所需的资源。

III. 核查
核查的目（mù）的是确保控（kòng）制措施都（dōu）已推（tuī）行，并能达到既定的目标。尽（jìn）管有多种可行的核查（chá）方法，但只有内部审核与管理检讨是强制性的要求。

IV. 采取行动
      之后（hòu）便需对核查（chá）结果（guǒ）采取适当的行（háng）动（dòng），相关（guān）的行动（dòng）可以是（shì）：
      修正
      预防
      改善

总结（jié）
ISO/IEC 27001:2005 标准为（wéi）所有行业的机构都提供（gòng）了一套（tào）业务工具，协助其避免信息保安（ān）的失误，从而（ér）降低了相应的风（fēng）险。正式推行ISO/IEC 27001:2005 并取得有关认证的机构将受益匪浅，以下列举（jǔ）其中数项：
由于按照国（guó）际标准实施适当的（de）控制措施，机构便能（néng）自（zì）行将信息保（bǎo）安的失误率降至较低
以（yǐ）系（xì）统化的方（fāng）法处理（lǐ）符（fú）合法律的问题，从（cóng）而减低所需承（chéng）担的（de）法律责任风（fēng）险（xiǎn）
以系统化的方法计划及管（guǎn）理（lǐ）运营的持续性

增（zēng）加客户、合作伙伴和相关人士对机构的信心
提升营运收入（rù），并为机构带来更（gèng）多商机