服（fú）务项目

新闻（wén）资讯（xùn）

便捷3C产品认证：线上申请...

联系（xì）我们

地址（zhǐ）：赣州市章贡区会昌路9号锦绣锦程4栋1202室

电话：0797-8409678

传真：0797-8409879

客服经（jīng）理电（diàn）话（huà）：13970722186 18970771486

邮箱：736703710@qq.com

网址：www.55.sab5881220.yiyang.haozhou.shanxi.linyi.jiaxing.zz.pingliang.ww38.viennacitytours.com

ISO27001信息安全管（guǎn）理系统标准简介（2）

您的当前位置：首页 >> 服（fú）务项目 >> ISO27001

ISO27001信（xìn）息安全管理系（xì）统标准（zhǔn）简（jiǎn）介（2）

所属分类：ISO27001
点击次数：
发布日期（qī）：2021/06/17
在（zài）线（xiàn）询价

详（xiáng）细介绍

信息安全管（guǎn）理系统是运营（yíng）风险（xiǎn）整体管理系统的其中一部分，目的是建立、实施、推行、检讨、维持（chí）及改（gǎi）善信（xìn）息安全。

机构在信息的机密性（xìng）、完整（zhěng）性和可（kě）用性（xìng）三方面（miàn）的目标（biāo）各是什么呢？什么程度的风险是可接受（shòu）的？是否存（cún）在任何（hé）限制，如法律、法规或机（jī）构（gòu）内部程序（xù）？信息安（ān）全政（zhèng）策应该（gāi）是一份由行政总监签署（shǔ）认可（kě）的文件。控制（zhì）措施应采取由上至下的推行方式（shì）。

风险评估根据需要（yào）保护的信息（xī）和（hé）可接（jiē）受的风险程度来识别真正的风险（xiǎn），并就这些风险出现的可（kě）能（néng）性与（yǔ）其影响的严重性作出评估，从而辨别出机构需要（yào）管（guǎn）理的（de）风险，即（jí）下图红色部分内的风（fēng）险（xiǎn）。

风险管（guǎn）理 / 风险（xiǎn）处理
完成风险（xiǎn）评估后，便要决定如何处（chù）理这（zhè）些风险。

适用性报（bào）告 (Statement of Applicability)
识别出所有的保安措施，指出哪些对机构而言是适（shì）用或（huò）不（bú）适用的，并说明原因。须（xū）针对风（fēng）险评估的结果来选择（zé）控制措施。

II. 实施
选定了控制措施后，便（biàn）需落实（shí）推行（háng），同时（shí）也需（xū）制定程序以（yǐ）确保能够迅速察觉到事故（gù）的发生并（bìng）作出回应，并（bìng）确保所有员工都了解信息安全（quán）的重要性（xìng），且确（què）保（bǎo）其接受了适（shì）当（dāng）的培训（xùn），及有能力执行他们负责的（de）保安任务。此外（wài），还要妥善管理（lǐ）所需（xū）的资源（yuán）。

III. 核查
核查（chá）的目的是确（què）保控制措施都已推行，并（bìng）能达到既定的目（mù）标。尽管有多（duō）种可（kě）行的核（hé）查方法（fǎ），但只有内部审核与管理检讨是强制性的要求。

IV. 采取行动
      之后便需对核查结果采取适当的行动，相关（guān）的行动可（kě）以是：
      修正
      预防
      改善

总结
ISO/IEC 27001:2005 标准为所有行业（yè）的机构都（dōu）提供了一套业务工具，协助其避免信（xìn）息保安的失误（wù），从而降（jiàng）低了（le）相（xiàng）应的风险。正（zhèng）式推行ISO/IEC 27001:2005 并取得有关认证的机（jī）构将受益（yì）匪浅（qiǎn），以下列举（jǔ）其中数项：
由于按照国际标准实施（shī）适当的控（kòng）制措施，机构便（biàn）能自行将信息保安的失误率降至（zhì）较低
以系统化的方法处理符合法律的问题，从而减低所需承担的法律责任风险
以系统化的（de）方法计划及管（guǎn）理运营的持续性

增加客（kè）户（hù）、合作伙伴和相关人士对机构的信心（xīn）
提升营（yíng）运收入，并为机构带（dài）来更多商机（jī）