ISO27001信息安全（quán）管理系统（tǒng）标准（zhǔn）简介（2）

您的当前位（wèi）置（zhì）：首页 >> 服务项（xiàng）目 >> ISO27001

ISO27001信息安全管理系统标（biāo）准简介（2）

所属分类：ISO27001
点击次数：
发（fā）布日期（qī）：2021/06/17
在线询价

详细介（jiè）绍（shào）

信息（xī）安全管（guǎn）理系统是运营（yíng）风险整体管理（lǐ）系统的（de）其中一部分，目的是建立、实（shí）施、推行、检讨、维持及改（gǎi）善信息安全。

机构在信息的机密性、完整性和（hé）可（kě）用性三方面的目标（biāo）各是什么呢？什么程度的风险是可接受的？是否存在任何限制（zhì），如法律、法规（guī）或机构内部（bù）程序？信息安全政策应（yīng）该（gāi）是（shì）一份由行政总监签署认（rèn）可的（de）文件。控制措施应（yīng）采取由上至下的推行（háng）方式。

风险评估根据（jù）需要（yào）保护的信息和可接受的风险程度来识（shí）别真正（zhèng）的风（fēng）险，并就（jiù）这些风险出（chū）现的（de）可能性与其（qí）影响的严重性作（zuò）出评估，从而辨别出机构需要管理的风险，即下图红色部分内（nèi）的风险。

风险管理 / 风险处理
完成风险评估后，便（biàn）要（yào）决定如何处理这些风险。

适（shì）用（yòng）性（xìng）报告（gào） (Statement of Applicability)
识别（bié）出所有的保安（ān）措施，指出哪（nǎ）些对机构而（ér）言是适用或不适用（yòng）的，并说明原因。须针对风（fēng）险评估（gū）的结果来（lái）选（xuǎn）择控制措施。

II. 实施
选定了控制（zhì）措施后，便需落（luò）实推行，同时也需制定程序以确保能够迅速察觉到事故的发生并作出回应，并确保所有员工都了解信息安全的重要性（xìng），且确保（bǎo）其接受了（le）适当的培训（xùn），及有能（néng）力（lì）执（zhí）行他们负责（zé）的保安（ān）任务。此（cǐ）外，还要妥善（shàn）管理所需的资源。

III. 核查
核查的目的是确保控制措施都已推（tuī）行，并（bìng）能达到既定的目标。尽（jìn）管有多（duō）种可（kě）行的核查方法，但只有内部审核与管理检讨是强制性的要（yào）求。

IV. 采取行动
      之后（hòu）便需对核查结果（guǒ）采取适当的行动，相关的行（háng）动可（kě）以是：
      修正
      预防
      改（gǎi）善

总结
ISO/IEC 27001:2005 标准为所有行业（yè）的机构都提供了一套业务（wù）工具，协助其避免信息（xī）保安（ān）的失误，从而降（jiàng）低了相应的（de）风险。正（zhèng）式推行（háng）ISO/IEC 27001:2005 并取得有（yǒu）关认（rèn）证的机构将受（shòu）益匪浅（qiǎn），以下列举其中数项：
由（yóu）于按（àn）照国际标准实施适当的控制措施，机构便能自（zì）行将（jiāng）信息（xī）保（bǎo）安（ān）的失（shī）误率（lǜ）降至（zhì）较低（dī）
以系统（tǒng）化的方法处（chù）理符（fú）合（hé）法律的问题，从而减低所需承担的法律责任风险
以系统化（huà）的方法（fǎ）计划及管理（lǐ）运（yùn）营的持续性

增加客户、合作伙伴（bàn）和相关（guān）人士对机（jī）构的信心
提（tí）升营运收（shōu）入，并为机（jī）构带来更多商（shāng）机