ISO27001信息安全管理系统标准（zhǔn）简介（2）

所属分类：ISO27001
点（diǎn）击次数：
发布日期：2021/06/17
在线询价

详（xiáng）细介绍

信息安全管理系统是运营风险整体管理系（xì）统的其（qí）中一部分（fèn），目的（de）是建立、实（shí）施、推（tuī）行、检讨、维持及改善信息安全。

机构在信息的机密性、完整性（xìng）和可用性三方（fāng）面的目标各是（shì）什么呢？什（shí）么程度的风险（xiǎn）是（shì）可接受的？是否存在（zài）任何限制，如（rú）法律（lǜ）、法规或机构内部程序（xù）？信息安全（quán）政策应该是一份（fèn）由行政总监（jiān）签署认（rèn）可的文件。控制措施应采取由上至（zhì）下的（de）推行方式。

风险评（píng）估根据需要保护的信（xìn）息和可接（jiē）受的风险程度来识（shí）别真正的风（fēng）险，并就这些风险（xiǎn）出（chū）现的（de）可能性（xìng）与其影响的（de）严重性作出评估，从（cóng）而辨别出机构需（xū）要管理（lǐ）的（de）风险，即下图（tú）红色部分内的（de）风险。

风险（xiǎn）管理 / 风险处理
完成风险评（píng）估后，便要决（jué）定如何处理这些风险。

适用性报告 (Statement of Applicability)
识别出所有的保安措施，指出哪些对机构而言是适用或（huò）不（bú）适用的（de），并说明原（yuán）因（yīn）。须（xū）针对风（fēng）险评估的结（jié）果来选择控（kòng）制（zhì）措施（shī）。

II. 实施
选定（dìng）了控制（zhì）措施后，便需落实推行，同时也（yě）需（xū）制定程序（xù）以确（què）保能够迅速（sù）察觉（jiào）到事故的（de）发生并（bìng）作（zuò）出回应，并确（què）保所有员工都了解信息安全的重要性，且确保其接受了适当（dāng）的培（péi）训，及有能力执行他们负（fù）责（zé）的保安任（rèn）务（wù）。此外，还（hái）要妥善管理所需（xū）的资源。

III. 核查
核查的目（mù）的是确（què）保控制措施都已推行，并能（néng）达到既定（dìng）的目（mù）标。尽管有多种可行的核查（chá）方法（fǎ），但只有内部（bù）审核与（yǔ）管理检讨是强（qiáng）制性的要（yào）求（qiú）。

IV. 采取行（háng）动
      之后便（biàn）需对核查（chá）结果采取适（shì）当的行动，相关的行（háng）动（dòng）可（kě）以是：
      修正（zhèng）
      预防
      改善

总结
ISO/IEC 27001:2005 标准为所有行业的机构都提供（gòng）了一套业（yè）务工具，协助其避（bì）免信息保（bǎo）安的失（shī）误，从而降低了相应的风（fēng）险。正（zhèng）式（shì）推（tuī）行ISO/IEC 27001:2005 并取得有关认证的（de）机（jī）构将受益匪浅，以下（xià）列举其中（zhōng）数项：
由于（yú）按照国际标（biāo）准实施适当的控制（zhì）措施，机构便能自行将（jiāng）信息保安的失误（wù）率降（jiàng）至较（jiào）低
以系统化的方法处理符合法律（lǜ）的问（wèn）题，从而减低（dī）所需承担的法律责任（rèn）风险
以系统化（huà）的方法计划及管（guǎn）理运营的持续性

增加客户、合作（zuò）伙伴和相关人士对机（jī）构的信心
提升营运收入，并为机构（gòu）带来更多商机