高（gāo）安（ān）ISO27001信息安（ān）全（quán）管理系统标准简介（2）

您的当前位置：首页 >> 服务项目 >> 高安ISO27001

高（gāo）安ISO27001信息安全管理系统标准简介（2）

所属分类：高安ISO27001
点击次数：
发布（bù）日（rì）期：2021/06/17
在线询价

详细（xì）介绍

信（xìn）息安全管理系统是运营风险整（zhěng）体管理系（xì）统（tǒng）的其中一部分，目的是建立、实施、推行（háng）、检讨、维（wéi）持及改（gǎi）善信息安全。

机构在（zài）信（xìn）息的机密性、完（wán）整性和可（kě）用性三方面的目标各（gè）是什（shí）么呢？什么程度的风险是（shì）可接受的（de）？是否存在（zài）任何限制，如（rú）法律、法（fǎ）规或机构内部程序（xù）？信息安全政策应该（gāi）是一份由行（háng）政总监签署认可的文件。控制措施（shī）应采（cǎi）取由（yóu）上（shàng）至下的（de）推行方式。

风险评估根（gēn）据需要保护的信（xìn）息（xī）和可接受（shòu）的风（fēng）险（xiǎn）程（chéng）度来识别真正的风险，并（bìng）就这些风险出（chū）现的（de）可能性与其（qí）影响的严重（chóng）性作出评估，从（cóng）而辨别出机构（gòu）需要（yào）管（guǎn）理的风险，即下图红色（sè）部分内的风险。

风险管理（lǐ） / 风险处理（lǐ）
完成风险评（píng）估后，便（biàn）要决（jué）定如何处理这些风险。

适用（yòng）性报告 (Statement of Applicability)
识别出所（suǒ）有的（de）保安措施（shī），指出哪些对机构（gòu）而言是适用或不适用的，并说明原因。须（xū）针对风险评估的（de）结果来选择控制措施。

II. 实施
选定（dìng）了（le）控制（zhì）措施后（hòu），便需落实推行，同时也需制定程序以确保能够迅速察觉（jiào）到事故（gù）的发生（shēng）并作出（chū）回（huí）应，并确保（bǎo）所（suǒ）有员（yuán）工都（dōu）了解（jiě）信息（xī）安（ān）全的（de）重要性，且确（què）保（bǎo）其（qí）接受了适当的培训，及有能力执行他们负责的保安任务。此（cǐ）外，还要妥善管（guǎn）理所需的资（zī）源。

III. 核查
核查的目的是确（què）保控制措施都已推行，并能（néng）达到（dào）既定的目标。尽管有（yǒu）多种可行的核（hé）查方（fāng）法，但只有内部审核与管理检讨是强（qiáng）制性的要求。

IV. 采取行（háng）动
      之后便需对（duì）核查结果采取适当的行动，相（xiàng）关的行（háng）动可以是：
      修正
      预防
      改善

总结
ISO/IEC 27001:2005 标准为所有行业的机构都提供了一套业务工具，协助其避免信息保安的失误（wù），从而（ér）降（jiàng）低了（le）相应的（de）风险。正式推行ISO/IEC 27001:2005 并（bìng）取（qǔ）得（dé）有关认（rèn）证的机构（gòu）将受益匪（fěi）浅，以下列举其中数项：
由于按照国际标（biāo）准实施适当的控制（zhì）措（cuò）施，机构便能（néng）自行将信息保安（ān）的失误率降至（zhì）较（jiào）低
以（yǐ）系（xì）统化的方（fāng）法处理符合法律的问题（tí），从而减低（dī）所需承担的（de）法律（lǜ）责任风险
以系统化的方法（fǎ）计划（huá）及（jí）管理运（yùn）营的持续性

增加客户、合作（zuò）伙（huǒ）伴和相关人（rén）士对机构的信心（xīn）
提升营运收（shōu）入，并为机构带来更多商机