南昌（chāng）ISO27001信息安全管理系统标准简介（jiè）（2）

您的当前位置：首页 >> 服务项目 >> 南昌（chāng）ISO27001

南昌ISO27001信息安全管理（lǐ）系（xì）统标准（zhǔn）简介（2）

所属（shǔ）分类：南昌ISO27001
点击次数：
发布日期：2021/06/17
在（zài）线询价

详细介绍

信息安（ān）全（quán）管理系统是运营（yíng）风险整体管理（lǐ）系统的其中一部分（fèn），目的是建立、实施、推（tuī）行、检讨、维持（chí）及（jí）改善信息安全。

机构在信（xìn）息的机（jī）密性、完整性和（hé）可用性三方面（miàn）的目标各是什么呢？什么程度的风险是（shì）可接受的？是否存在任何（hé）限制，如法律、法规或机构内部程序？信息安全政策（cè）应（yīng）该是一份由行政总监签署认可的文件。控制措（cuò）施应采取（qǔ）由上（shàng）至下的推行方式。

风（fēng）险（xiǎn）评估根据需要保护的（de）信（xìn）息和（hé）可接受的风险程（chéng）度来识别真正的风（fēng）险，并就这些（xiē）风险出现的可能性与其影（yǐng）响（xiǎng）的严重性（xìng）作（zuò）出评估，从而辨别出机构需（xū）要管理（lǐ）的风险，即（jí）下图红色部分内的风险。

风险管理 / 风险处理（lǐ）
完成风险（xiǎn）评估后，便要决定（dìng）如何处理这些风险（xiǎn）。

适用性报告 (Statement of Applicability)
识别出所（suǒ）有的保（bǎo）安措施（shī），指（zhǐ）出哪些（xiē）对机构而言是适用或（huò）不适用的，并（bìng）说明（míng）原因（yīn）。须针对风险（xiǎn）评估的结果来选择（zé）控制措施（shī）。

II. 实（shí）施
选定（dìng）了控（kòng）制措施（shī）后，便需落实推行，同时也需制定程（chéng）序以确保能够迅速察觉到事故的（de）发（fā）生并作出回应（yīng），并确保（bǎo）所有员工都了解信息安全的重（chóng）要性，且（qiě）确（què）保其（qí）接受了（le）适当的培训，及有能力执（zhí）行他们负责的保安任（rèn）务。此外，还要妥善管（guǎn）理（lǐ）所需的资源。

III. 核查
核（hé）查的目的是确保控制措施（shī）都已推行，并能达（dá）到既（jì）定的（de）目标。尽（jìn）管有多种可行的核查方法，但只有内部审核与管理检（jiǎn）讨是强制（zhì）性的要求。

IV. 采取行动
      之后便需对核查结果采取适（shì）当的行动，相关的行动可以是：
      修（xiū）正
      预防
      改善

总（zǒng）结
ISO/IEC 27001:2005 标准为所有行业（yè）的机构都提供了（le）一套业务（wù）工具，协助（zhù）其避免信（xìn）息保安的（de）失误，从而降低（dī）了（le）相应的风险。正式推行ISO/IEC 27001:2005 并取得有关（guān）认证的机构将受益（yì）匪浅（qiǎn），以（yǐ）下列举其中数（shù）项：
由（yóu）于按照国际标准实（shí）施适（shì）当的控（kòng）制措施（shī），机构（gòu）便能自行（háng）将信息保安的失误（wù）率（lǜ）降（jiàng）至较（jiào）低
以系统化的方（fāng）法处理符合（hé）法（fǎ）律的（de）问题，从而减低所需承担的法律责任风（fēng）险
以系统化的方法计划及管理运营的持续性

增加客户、合作伙伴和（hé）相关人士（shì）对机构的信心
提升营（yíng）运（yùn）收入，并为机构带（dài）来更多商机