德兴ISO27001信息安全管理系统（tǒng）标准简介（2）

您的当前（qián）位置：首页 >> 服务项目 >> 德兴ISO27001

德兴ISO27001信息安（ān）全管理（lǐ）系统标（biāo）准简介（jiè）（2）

所属分类（lèi）：德兴ISO27001
点击次（cì）数：
发布日期（qī）：2021/06/17
在线询价

详（xiáng）细介绍（shào）

信（xìn）息安全管理（lǐ）系统是运营风险整体管理系统的其中一部（bù）分（fèn），目的是建立、实（shí）施、推行、检讨、维持及改善信息安全（quán）。

机构在（zài）信息的机（jī）密性、完整性（xìng）和可用性三方（fāng）面（miàn）的目标（biāo）各是什么呢？什么程度的风险是（shì）可接（jiē）受的？是否存在任（rèn）何限制，如法律、法规或机构内部程序？信息安全政策应该是一份由（yóu）行政总（zǒng）监签署认可的文件。控制措施应采取由上（shàng）至下的（de）推行方式。

风险评估（gū）根据需要保护的（de）信息和（hé）可（kě）接受的（de）风险程度来识别（bié）真正（zhèng）的（de）风险，并就这些风险出现的可能性与其影响的严重（chóng）性作出评估，从而辨别（bié）出机构需要管理（lǐ）的风险，即下（xià）图红色部分（fèn）内的风（fēng）险。

风险管（guǎn）理 / 风险处理
完（wán）成（chéng）风险（xiǎn）评估后，便要（yào）决定如何（hé）处（chù）理这些风险。

适用（yòng）性报告 (Statement of Applicability)
识别出所有的保（bǎo）安措施，指出哪些对机（jī）构（gòu）而言是（shì）适用或不适用的，并说明原（yuán）因。须针（zhēn）对风（fēng）险评估的结果来选（xuǎn）择控制措施（shī）。

II. 实施
选定了控（kòng）制措施（shī）后，便需落实推行，同时（shí）也需制定程序以确保能够迅速察觉到（dào）事故（gù）的发（fā）生并作出回应，并确（què）保所有员工都了解信息安（ān）全（quán）的重（chóng）要性（xìng），且确（què）保其接受了适当的培训，及有（yǒu）能力执行他们负责的保安任务。此外，还（hái）要妥善管（guǎn）理所需的（de）资源。

III. 核查（chá）
核查的目的是（shì）确保控制措（cuò）施都已推（tuī）行，并（bìng）能达到既定（dìng）的目标。尽管有多种可行的核查方法，但只有内（nèi）部审核与管理（lǐ）检讨是强制性的要求。

IV. 采取行动
      之后便需对核（hé）查结果（guǒ）采取适当的行动，相关的行动可以是（shì）：
      修正（zhèng）
      预防
      改善

总结
ISO/IEC 27001:2005 标准（zhǔn）为所有行业的机构都提供了一套业务（wù）工具，协助其避免信息保安的失误，从而降低了相应（yīng）的风（fēng）险。正（zhèng）式推行ISO/IEC 27001:2005 并（bìng）取得有关认（rèn）证的机构将受益匪（fěi）浅，以下列举其中数项：
由（yóu）于按照国（guó）际标（biāo）准实施（shī）适当的控（kòng）制措施（shī），机构便能自行将信息保安的失误率降至较低
以系（xì）统化的方法处（chù）理符合法律的（de）问题，从（cóng）而减低所需承担的法律责任风（fēng）险
以系统化的方法计划及管理运营的持续性

增加客户（hù）、合（hé）作伙伴（bàn）和相（xiàng）关（guān）人士对机构的信心（xīn）
提（tí）升营运收入，并为机构带来更多商（shāng）机