南康ISO27001信息安全管理系统标准简介（2）

您的当前位置：首页（yè） >> 服务项目 >> 南（nán）康ISO27001

南康ISO27001信息安全（quán）管理系统标准简介（jiè）（2）

所属分类：南（nán）康ISO27001
点击次数：
发布（bù）日期：2021/06/17
在线询价

详细介绍

信息（xī）安（ān）全管理系统是运营风险整体（tǐ）管理系统的其中一部分，目的是建立、实施、推行、检讨（tǎo）、维持及（jí）改善信息安全。

机构在信息的机密性、完整性（xìng）和（hé）可（kě）用性三方面的目标各是（shì）什么呢（ne）？什（shí）么（me）程度的风险是（shì）可接受的？是（shì）否存（cún）在任（rèn）何限制，如法律（lǜ）、法规或机构内部程序（xù）？信（xìn）息安全政策应（yīng）该是（shì）一份（fèn）由行政（zhèng）总（zǒng）监签（qiān）署认（rèn）可的文件。控制措施应采取由上（shàng）至下的（de）推行方式。

风险（xiǎn）评估根据需要保护的信息和可接受（shòu）的（de）风（fēng）险程（chéng）度来识别真（zhēn）正（zhèng）的风险，并就这些风险出现（xiàn）的可能性与其影响的严重性作（zuò）出评估，从（cóng）而辨别出机构需要管理的风（fēng）险（xiǎn），即（jí）下图红色（sè）部分（fèn）内的风险。

风险管理 / 风险（xiǎn）处理
完成风（fēng）险评估后（hòu），便要（yào）决定（dìng）如何处理这些风（fēng）险。

适用性（xìng）报告 (Statement of Applicability)
识（shí）别出所（suǒ）有的保安措施，指出哪些（xiē）对机构而言是适（shì）用或不适用的，并说明（míng）原因。须针对风险评估的结果来选（xuǎn）择控制（zhì）措施。

II. 实施
选定了控制措施后，便需落实推（tuī）行，同时也需制定程序（xù）以确保能够（gòu）迅速察觉到事故的发生并（bìng）作出回应（yīng），并确（què）保（bǎo）所（suǒ）有（yǒu）员工（gōng）都了解信息安全（quán）的重（chóng）要性，且（qiě）确保其接受了适当的培（péi）训，及有能力执（zhí）行他（tā）们负责的（de）保安任务。此外，还（hái）要妥善管理所需（xū）的资源（yuán）。

III. 核查
核查的目的是确保（bǎo）控制措施都（dōu）已推行，并能（néng）达（dá）到既定的目标。尽管（guǎn）有多种可（kě）行（háng）的核查方法，但只有内部审核与管（guǎn）理（lǐ）检讨是强制性（xìng）的要求。

IV. 采（cǎi）取（qǔ）行动（dòng）
      之（zhī）后（hòu）便需对核（hé）查结果采取（qǔ）适当的（de）行动，相关的行动（dòng）可（kě）以是（shì）：
      修正
      预防
      改善

总（zǒng）结
ISO/IEC 27001:2005 标（biāo）准为所有行业的机（jī）构都提供了一（yī）套业务工（gōng）具（jù），协助其避免（miǎn）信息保安（ān）的失误，从而降（jiàng）低了相应的风险。正式推（tuī）行ISO/IEC 27001:2005 并取得（dé）有关（guān）认证的（de）机构将（jiāng）受益（yì）匪浅，以下列举其中（zhōng）数项：
由（yóu）于按照（zhào）国际标准（zhǔn）实（shí）施适当的控制措施，机构（gòu）便能（néng）自行将（jiāng）信息保安的失误率降至（zhì）较低
以（yǐ）系统化的方法处理符合法律的问题，从而减低（dī）所需（xū）承担的法律责任风险
以系统化的方法计划及管理（lǐ）运（yùn）营的持续性（xìng）

增加客户、合作伙（huǒ）伴和相关人士对机（jī）构（gòu）的信心
提（tí）升营（yíng）运收入，并为机构带来更多商（shāng）机