赣县ISO27001信息安（ān）全管理系统（tǒng）标（biāo）准简介（2）

您的当（dāng）前位（wèi）置：首（shǒu）页 >> 服务项目 >> 赣县（xiàn）ISO27001

赣县ISO27001信息安全管理系统标准简（jiǎn）介（2）

所属分类：赣县ISO27001
点击（jī）次数：
发布（bù）日（rì）期：2021/06/17
在线询价

详（xiáng）细介绍

信息安全管理系统是运营风险整体管理系（xì）统的其（qí）中一（yī）部分，目的是建立、实施、推行、检讨、维持（chí）及改（gǎi）善信息安全。

机构在信（xìn）息的机（jī）密性、完整性和（hé）可用性三方面的目标各是什么呢？什么程度的风（fēng）险是可（kě）接受的？是否存（cún）在（zài）任何限制，如法律、法规或（huò）机构（gòu）内部程序（xù）？信息安全政（zhèng）策（cè）应该是一份由行政（zhèng）总监签署认可的文件（jiàn）。控制措施应采取由上（shàng）至下的推行方式。

风险评估根据（jù）需要保护的信息和（hé）可接受的风险程度来识别真正（zhèng）的风险，并就（jiù）这些风险出现（xiàn）的可能性（xìng）与其影响的严（yán）重性作（zuò）出（chū）评估，从而辨别出机构需要管理的风（fēng）险，即下图（tú）红色部分内的风险（xiǎn）。

风险管理 / 风险处理
完成风险评估后，便要决定如何处理（lǐ）这些风险。

适用性报告 (Statement of Applicability)
识别出所有的保安措施，指出哪些对机构而言是（shì）适用或不适用的（de），并说（shuō）明原（yuán）因（yīn）。须（xū）针对风险评估的结果来选择控（kòng）制措施。

II. 实施
选定了控制措（cuò）施后，便需落实（shí）推（tuī）行，同时（shí）也需制定（dìng）程（chéng）序以确保（bǎo）能够迅速察觉（jiào）到事（shì）故（gù）的发生并作出回应，并确保所有（yǒu）员工都了解信息（xī）安全（quán）的重要性（xìng），且确保其接受了适当的培训，及有能力执行他们（men）负责的保安任务。此外，还要妥善管（guǎn）理所需（xū）的资源。

III. 核查（chá）
核查的目（mù）的是确保控制（zhì）措施（shī）都已推行，并能达到既定的目标。尽（jìn）管有多种（zhǒng）可行的核（hé）查方法，但（dàn）只（zhī）有（yǒu）内部审核与管理检讨是强制（zhì）性的要求（qiú）。

IV. 采取行动
      之（zhī）后便需对（duì）核查结果采取适当的行（háng）动，相关的（de）行（háng）动可以是（shì）：
      修正
      预防
      改善

总结
ISO/IEC 27001:2005 标准为所有行业的机构都提供了一套业务工具，协助其避（bì）免信（xìn）息保安的失误，从而降低了相应的（de）风险。正式推行ISO/IEC 27001:2005 并取得（dé）有关（guān）认证（zhèng）的机构将受益匪浅，以下列（liè）举（jǔ）其中数项：
由于按照（zhào）国际（jì）标准实施适当（dāng）的控制措施（shī），机（jī）构便（biàn）能自行将（jiāng）信息保（bǎo）安的失误率降至较（jiào）低
以系统（tǒng）化（huà）的方法处理符合法律的（de）问题，从而（ér）减低所需承（chéng）担的法律责任风险
以系（xì）统化的方法计（jì）划及管理运营的持续性

增加（jiā）客户（hù）、合作伙伴和相关（guān）人士对（duì）机构的信心
提升营运收入，并（bìng）为机构带来更多商机