瑞（ruì）金ISO27001信息安全管（guǎn）理（lǐ）系统标（biāo）准简介（2）

您（nín）的（de）当前位置（zhì）：首页 >> 服务项目 >> 瑞金ISO27001

瑞金ISO27001信息安全管理（lǐ）系统（tǒng）标（biāo）准简（jiǎn）介（2）

所属分类：瑞金ISO27001
点击次数（shù）：
发布日期：2021/06/17
在线询价（jià）

详细介绍

信（xìn）息（xī）安全管理系统是运（yùn）营风险整体管理系统的其（qí）中一部分，目（mù）的（de）是（shì）建立、实施、推行、检讨、维持（chí）及（jí）改善信息安全（quán）。

机构在（zài）信息的机密性、完（wán）整性和可（kě）用性三方面的（de）目标各是什么呢（ne）？什（shí）么程度的（de）风险是可接受的？是（shì）否存在（zài）任（rèn）何（hé）限制，如（rú）法（fǎ）律、法规（guī）或机构（gòu）内部程序？信息安全政策应该（gāi）是（shì）一份（fèn）由行政总（zǒng）监签署认可的文件。控制措（cuò）施应采取由上至下的推行方式（shì）。

风险评估根据需要（yào）保（bǎo）护的信息和可接受的风险程度来识别真正的风险，并就这些风险出（chū）现（xiàn）的可能性与其影响的严重性作出（chū）评估，从而辨别出机构需要管理的风险，即下图红（hóng）色（sè）部分（fèn）内的风险（xiǎn）。

风险（xiǎn）管理（lǐ） / 风险处（chù）理（lǐ）
完成风险评估后，便要（yào）决定如何（hé）处理这些风（fēng）险（xiǎn）。

适用性报告 (Statement of Applicability)
识别出所有的保安措（cuò）施，指出哪些对机（jī）构而（ér）言是适用或不适用的，并说明原因。须（xū）针对风险评（píng）估（gū）的结果来选（xuǎn）择控制措（cuò）施。

II. 实施
选定（dìng）了控制措（cuò）施后，便需（xū）落实推（tuī）行，同时（shí）也需制定程序以确保能够迅速察觉（jiào）到事（shì）故的发生并作出回应（yīng），并确保所有员工都了解信（xìn）息安全的重要性，且确保其接受了适当的培（péi）训，及有能力执行他们（men）负责（zé）的保（bǎo）安（ān）任务。此外，还要妥善管理所需的资源。

III. 核查
核查的目的是确（què）保控制措施（shī）都已推行（háng），并能达到既定的目标。尽（jìn）管有（yǒu）多种可行的核查方（fāng）法，但只有内部审（shěn）核与管理检讨是强（qiáng）制性（xìng）的要求。

IV. 采取行动
      之后便需对核查结果采（cǎi）取（qǔ）适（shì）当的（de）行（háng）动，相（xiàng）关的行动可以（yǐ）是（shì）：
      修正
      预防
      改（gǎi）善

总结
ISO/IEC 27001:2005 标准为所有行业的（de）机构都提供了一套业务工具，协助其避免信息（xī）保安的失误，从（cóng）而降低了相应的（de）风险。正（zhèng）式推行（háng）ISO/IEC 27001:2005 并取（qǔ）得有关认证（zhèng）的机构将受（shòu）益匪浅，以下（xià）列举其中数项：
由于按照（zhào）国际标准（zhǔn）实施适当的控制措施，机（jī）构便（biàn）能自行将信息保（bǎo）安（ān）的失误率降至（zhì）较低
以系（xì）统化的方法处理符合（hé）法律的问题，从而减低所需承担的法律责任风险（xiǎn）
以系统化的（de）方法计划及管理运营的持续性（xìng）

增（zēng）加客户、合作伙伴和相关（guān）人士（shì）对机（jī）构的信心
提升营运收入，并为机构带（dài）来更（gèng）多商机（jī）