贵（guì）溪ISO27001信息（xī）安（ān）全管理系统标准简介（2）

您的当（dāng）前位置：首（shǒu）页 >> 服（fú）务项目 >> 贵溪ISO27001

贵（guì）溪ISO27001信息安全管理系统（tǒng）标准（zhǔn）简介（2）

所属分类：贵溪ISO27001
点击次数：
发（fā）布日期：2021/06/17
在线询价

详细介绍

信（xìn）息安全管理（lǐ）系统是运营风险整体管理系（xì）统的其中一部分，目的是建立、实施、推行、检（jiǎn）讨、维持及改善信息安全。

机构在信息的机密性（xìng）、完整性（xìng）和可用性三（sān）方面的（de）目标各是什么呢（ne）？什么程（chéng）度的风险是可接受的？是否存在（zài）任何（hé）限制，如法律（lǜ）、法（fǎ）规或机构内部程序？信息安全政策（cè）应该（gāi）是一份由行（háng）政总监签（qiān）署认可的文件。控制措施应采取由上至下的（de）推行（háng）方（fāng）式。

风险（xiǎn）评估（gū）根据需要保护的（de）信息和可接受（shòu）的（de）风险程度来识别真正的风险，并就这些风险出现（xiàn）的可能性与（yǔ）其（qí）影响的严重性作出评估（gū），从而辨别出机构需要管理的风险，即下（xià）图红（hóng）色部分内的风（fēng）险（xiǎn）。

风险管理 / 风险处理
完成风（fēng）险评估后，便要决定（dìng）如（rú）何处理（lǐ）这些风（fēng）险。

适用性报告 (Statement of Applicability)
识别出所（suǒ）有的保安（ān）措施，指出哪（nǎ）些对（duì）机构而言是适用或不适用的（de），并说明原因。须（xū）针（zhēn）对风险评估的（de）结果来（lái）选择控制措施。

II. 实施（shī）
选定了控制措施（shī）后，便需落实推行，同时也需制定（dìng）程序（xù）以确保能（néng）够迅速察觉到事（shì）故的发生并作（zuò）出回应，并确保所有员工（gōng）都了解信息安全（quán）的重要性，且确保其接受了适当的（de）培（péi）训，及有能（néng）力执行（háng）他们负责（zé）的保（bǎo）安任（rèn）务。此外（wài），还（hái）要妥善（shàn）管理所需（xū）的资源。

III. 核查
核查的目的（de）是确保控制措施都已推（tuī）行，并能（néng）达到既定的目标。尽管有多种可行的核查方法，但只有内部审核与管理检讨是（shì）强制性的要求。

IV. 采（cǎi）取（qǔ）行动
      之（zhī）后（hòu）便需（xū）对（duì）核查结果采（cǎi）取适（shì）当的行动（dòng），相关的行动（dòng）可以是：
      修正
      预（yù）防
      改善

总结
ISO/IEC 27001:2005 标准为（wéi）所（suǒ）有行（háng）业的机构都提（tí）供了一套（tào）业务工具，协助（zhù）其避免信息保安的（de）失误，从而降低了（le）相应的风险。正式推（tuī）行ISO/IEC 27001:2005 并取得有关认证的机构将受益匪浅，以下列举其中数项：
由于按（àn）照国际标准实施适（shì）当的控制措施，机（jī）构便能（néng）自行将信（xìn）息保安的失误率（lǜ）降至较低
以系统（tǒng）化的方（fāng）法处理（lǐ）符合法（fǎ）律的问（wèn）题（tí），从而减低所（suǒ）需（xū）承（chéng）担的法律责任风（fēng）险
以系统化的方（fāng）法（fǎ）计划（huá）及（jí）管（guǎn）理运营的持续性

增加客户（hù）、合作伙伴和（hé）相关人士对（duì）机构的信心
提升营运收入，并为机构带（dài）来更多商机