ISO27001信（xìn）息安全管理系统标准简（jiǎn）介（2）

所属分类（lèi）：ISO27001
点击次数：
发布日期：2021/06/17
在（zài）线询（xún）价（jià）

详细介绍

信息安全管理系统（tǒng）是运营风险整体（tǐ）管理系统的其中一部分，目的是建立（lì）、实施、推行、检讨、维（wéi）持（chí）及（jí）改（gǎi）善信（xìn）息安全。

机（jī）构在信（xìn）息的机（jī）密性、完整性和可用性三方面的目标各是（shì）什么呢？什么程度的风险是可接受的（de）？是否存在任何限（xiàn）制（zhì），如法律（lǜ）、法规或机（jī）构（gòu）内（nèi）部程序（xù）？信息安（ān）全政策应（yīng）该是一份由行政总监签署（shǔ）认可的文件（jiàn）。控制措（cuò）施应采取由上至下（xià）的推行方（fāng）式。

风（fēng）险评估根据需要保护的信息和可接受的风险程度来识别（bié）真正的风险，并就这些风险出现的（de）可（kě）能性（xìng）与其影响（xiǎng）的严重性作出（chū）评估（gū），从而辨别出机（jī）构需要管理的风险，即下（xià）图红色部分内（nèi）的（de）风险。

风险管理（lǐ） / 风险处（chù）理
完成风险评估（gū）后（hòu），便要决定如何处理这些风险。

适用性报告 (Statement of Applicability)
识别出所有的保安措施，指出（chū）哪些对（duì）机构而言是适用（yòng）或不适用的，并说明原因（yīn）。须（xū）针（zhēn）对风险评估的结果来（lái）选择控制措施（shī）。

II. 实施
选定了控制措施后，便需落实推（tuī）行（háng），同时也需制定程序（xù）以确保能够（gòu）迅速察觉到（dào）事（shì）故的发（fā）生并作出回应，并确保所有员工（gōng）都了解信息安（ān）全的重要性，且确保其接（jiē）受了适当的（de）培训，及有能力（lì）执行他们负（fù）责（zé）的保安任务。此外，还要（yào）妥（tuǒ）善管理所需的（de）资源（yuán）。

III. 核查（chá）
核查的目（mù）的是确保控制（zhì）措施都已（yǐ）推行，并能达到既定的（de）目（mù）标。尽管有（yǒu）多（duō）种可（kě）行的核查方法，但只有内部审核（hé）与管理（lǐ）检讨是（shì）强制性的要求。

IV. 采（cǎi）取行动（dòng）
      之（zhī）后便需（xū）对核查结（jié）果（guǒ）采取适当（dāng）的（de）行动，相（xiàng）关的行（háng）动（dòng）可（kě）以是：
      修正
      预防
      改善

总结
ISO/IEC 27001:2005 标准为所有行业的机构都（dōu）提供了一（yī）套业（yè）务工具，协助其避免信息保安的失误，从（cóng）而降低了（le）相（xiàng）应的风险。正式推行ISO/IEC 27001:2005 并取得有关认证（zhèng）的机构将受（shòu）益匪浅，以下列举其（qí）中数项：
由于（yú）按照国际标准（zhǔn）实施适当的控制措施，机构便能自行将信（xìn）息保安的（de）失误率降至（zhì）较低
以系（xì）统化的方法处理（lǐ）符（fú）合法律（lǜ）的问题，从而减低所（suǒ）需承担的法律责任（rèn）风险
以系（xì）统化的方法计划及管理运营的持续性（xìng）

增加客户、合作伙（huǒ）伴（bàn）和相关（guān）人士对机构的信（xìn）心
提升营运收入，并（bìng）为机构带来更多商机（jī）