瑞金ISO27001信息安全管理系统标准简介（2）

您的当前位置（zhì）：首页 >> 服务项目 >> 瑞金ISO27001

瑞金ISO27001信息安全管理系统标准简介（2）

所（suǒ）属分类：瑞金（jīn）ISO27001
点击次数：
发布日期：2021/06/17
在线询价（jià）

详细介绍

信息安全管（guǎn）理系（xì）统是运营风险整体管理系（xì）统的其中一部分，目的是建立、实施、推行、检（jiǎn）讨、维持及改善（shàn）信息安全。

机构在信息的机密（mì）性（xìng）、完整性和可用性三方面的目（mù）标（biāo）各是什么（me）呢？什么（me）程度（dù）的风险是可接受的？是否存在任（rèn）何限制，如法律、法规或机构内（nèi）部程序？信（xìn）息安全政策（cè）应该是一份由行政总监签署认可的（de）文件。控制措施应采取由上至下的推行方式。

风（fēng）险评估根据需要保（bǎo）护的信息和可接（jiē）受的风险（xiǎn）程度来识别真正（zhèng）的风险，并就（jiù）这（zhè）些风险出现的可能性与（yǔ）其影响（xiǎng）的严重性（xìng）作出评估，从而（ér）辨（biàn）别出机（jī）构需要管理的风险，即下图红色（sè）部分内的风险。

风险管理 / 风险（xiǎn）处理（lǐ）
完成风险评估后，便要决（jué）定如何处理（lǐ）这些（xiē）风险。

适用性报告 (Statement of Applicability)
识别（bié）出所有的保安措施，指（zhǐ）出哪些对机构（gòu）而言是适用或（huò）不适用的，并说明原因。须针对风险评（píng）估的结果来选择控制措施。

II. 实施（shī）
选定了控制措施（shī）后（hòu），便需落实推行，同（tóng）时也需（xū）制定程（chéng）序以确保能（néng）够（gòu）迅速察觉到事（shì）故（gù）的发生并作出回应（yīng），并确（què）保所（suǒ）有员工都了解（jiě）信息安全的重要性，且确保（bǎo）其接受了适当的培（péi）训（xùn），及有能力执行他们负责的保安（ān）任务。此外，还要妥善管理（lǐ）所需的（de）资源。

III. 核查
核（hé）查的目的是确保控制措施（shī）都已推行，并能达到既（jì）定的目标。尽管有（yǒu）多种可行（háng）的核查（chá）方（fāng）法，但只有内（nèi）部审核与管理检（jiǎn）讨（tǎo）是强制性的要（yào）求。

IV. 采取行动（dòng）
      之后便需对（duì）核查结果采取适当的（de）行动，相关的行动（dòng）可（kě）以是：
      修正
      预（yù）防
      改善

总结
ISO/IEC 27001:2005 标准为所有行业的机构都提（tí）供了一套（tào）业务工（gōng）具，协（xié）助其（qí）避免信息保安的失误，从而降低了相应的风险（xiǎn）。正式推行ISO/IEC 27001:2005 并取得有关认证的机构将受（shòu）益（yì）匪（fěi）浅，以下列举（jǔ）其中数项：
由于按照国际（jì）标准实施适当的控制措施，机（jī）构便能自行将信息保安（ān）的（de）失误（wù）率降至较低
以系统化（huà）的方法处理符合法（fǎ）律的问题，从而（ér）减低所需承担的法律责任风险（xiǎn）
以系统化的方法计划及（jí）管理运（yùn）营（yíng）的持续性

增加客户、合（hé）作伙伴和相（xiàng）关人士（shì）对机构的信心
提（tí）升营运（yùn）收入，并为机构（gòu）带来（lái）更多商机