瑞金ISO27001信息安（ān）全（quán）管理系统（tǒng）标准简介（2）

您的（de）当前位置：首页 >> 服务项目 >> 瑞金ISO27001

瑞金ISO27001信息安全管理系统标（biāo）准简介（2）

所属分（fèn）类：瑞金ISO27001
点击次数（shù）：
发布日期（qī）：2021/06/17
在线询价

详细介绍（shào）

信息安全管理系统（tǒng）是运营风险（xiǎn）整体（tǐ）管理系统的（de）其中一部分，目的是建（jiàn）立（lì）、实施（shī）、推（tuī）行、检讨、维持及改善信息安全。

机构在信息（xī）的机密性、完整（zhěng）性和可用性三方面的（de）目标（biāo）各是什么呢（ne）？什么（me）程度的风险是可（kě）接受的？是否存在任何限制，如法律、法规或机构内部（bù）程序？信息安全政策应该是一（yī）份由行政总监签署认可的文件（jiàn）。控制（zhì）措施应采取（qǔ）由上至（zhì）下的推行（háng）方式。

风险评估（gū）根（gēn）据（jù）需（xū）要保护的信息和可接受的风险程度来识（shí）别（bié）真（zhēn）正的风险，并就（jiù）这些风险出现的可（kě）能性与其影响的严重性（xìng）作（zuò）出评估，从而辨别出机构需要管理的（de）风险，即下图红色部（bù）分内的（de）风（fēng）险（xiǎn）。

风险管理（lǐ） / 风险（xiǎn）处理
完成（chéng）风险评估后，便要决定如何处理这些风（fēng）险（xiǎn）。

适用性报告（gào） (Statement of Applicability)
识（shí）别出所有的保安措施，指出哪些对机构而言是适用或不适用的，并说（shuō）明原因（yīn）。须针对风（fēng）险评估的结果来选择控制措施。

II. 实（shí）施
选定了控制措施后，便需（xū）落实推行（háng），同时也（yě）需制定程（chéng）序以确保能够（gòu）迅速察觉到事（shì）故（gù）的（de）发（fā）生并（bìng）作出回应（yīng），并（bìng）确（què）保所有员工都（dōu）了解信息安全的重要性，且（qiě）确（què）保其接（jiē）受（shòu）了适当的培训，及有能力执行（háng）他（tā）们负责的保安任务。此外，还要妥善管（guǎn）理所需的资源（yuán）。

III. 核查
核（hé）查的目的（de）是确保控（kòng）制措施都已推行，并（bìng）能（néng）达到既定的目标。尽管有多种（zhǒng）可（kě）行的（de）核查方法，但只有内部审核（hé）与（yǔ）管理检讨是强制（zhì）性的要求（qiú）。

IV. 采（cǎi）取行动（dòng）
      之后便（biàn）需对核查结果采取适（shì）当的（de）行动，相关的行动可以是：
      修（xiū）正
      预防
      改善（shàn）

总结
ISO/IEC 27001:2005 标准（zhǔn）为（wéi）所有行业（yè）的机构（gòu）都提供了（le）一套业务工具，协助其（qí）避免信息（xī）保安（ān）的失误，从而降（jiàng）低了相（xiàng）应的风（fēng）险。正式推行ISO/IEC 27001:2005 并取得有（yǒu）关认证的（de）机构将受益匪（fěi）浅，以下（xià）列（liè）举其中数项：
由于按照（zhào）国际标准（zhǔn）实施适当的控制措施，机（jī）构（gòu）便能自行将（jiāng）信息保安（ān）的（de）失误率降至（zhì）较（jiào）低
以（yǐ）系统化的方法（fǎ）处理（lǐ）符（fú）合法律的问题，从而（ér）减（jiǎn）低所需承（chéng）担的法律（lǜ）责任风险
以系统化的方法计划及管理（lǐ）运（yùn）营的持续性（xìng）

增加客户、合作伙伴和（hé）相关人士对机构的信心
提升营运收入，并为机构带来更多（duō）商机