景（jǐng）德镇ISO27001信（xìn）息（xī）安全管（guǎn）理（lǐ）系统（tǒng）标（biāo）准简介（2）

您（nín）的当（dāng）前位置：首页 >> 服（fú）务项目 >> 景德镇ISO27001

景德镇ISO27001信息安全管理系统标准（zhǔn）简介（2）

所属分（fèn）类：景德（dé）镇ISO27001
点击次数：
发布日期：2021/06/17
在线询价

详（xiáng）细（xì）介（jiè）绍

信息安全管理系统是运（yùn）营风（fēng）险整（zhěng）体管理系统的（de）其中一（yī）部分，目的是建（jiàn）立、实施、推行、检讨、维持及（jí）改善信息安（ān）全。

机构在信息的机密性、完整性和可（kě）用性三方（fāng）面（miàn）的目标各是什么呢？什么程度的风险是（shì）可接受的？是否存在（zài）任何限制（zhì），如法律（lǜ）、法规或机构内部程序？信息（xī）安全政策应该是一份由行政总（zǒng）监签署认可的文件（jiàn）。控制措施应采（cǎi）取由上至（zhì）下（xià）的推行方式。

风险评估（gū）根据（jù）需要保护的信息和可接受（shòu）的风险程度（dù）来识别真正的（de）风（fēng）险，并就这（zhè）些风险出现（xiàn）的可能（néng）性与其影（yǐng）响的严重性（xìng）作出（chū）评估，从而辨别出机构需要管（guǎn）理的（de）风险，即下图红色部分内的风险。

风险管（guǎn）理 / 风险处理
完成风险（xiǎn）评（píng）估后，便要（yào）决定（dìng）如何处（chù）理这些风险。

适用性报告 (Statement of Applicability)
识别出所（suǒ）有（yǒu）的保安措施，指出哪些对（duì）机构而（ér）言是适用或不适用的，并说明原因。须针对（duì）风险评估的结果来（lái）选择控（kòng）制措（cuò）施（shī）。

II. 实施
选定了控制措施后，便（biàn）需落实推行，同时也需制定程序以确保能够迅（xùn）速（sù）察觉到（dào）事故（gù）的发生并作（zuò）出回应，并确保所有员工都了（le）解信息安全（quán）的重要性，且（qiě）确保其（qí）接受了适当的培训（xùn），及有能力执行他（tā）们负责的保安任务。此外，还（hái）要妥善管（guǎn）理所（suǒ）需的资源。

III. 核查
核查的目的是确保控制措施都已推行，并能达到既定的目标。尽管有多（duō）种可行的核查方法，但只有内部审核与（yǔ）管理检讨是强制性的要求（qiú）。

IV. 采取行动
      之后便需对核查（chá）结果采取适当（dāng）的行动，相关的行（háng）动（dòng）可以是：
      修正
      预防
      改善（shàn）

总结
ISO/IEC 27001:2005 标准为所有行（háng）业的（de）机（jī）构（gòu）都提（tí）供了一套业务工具，协助其避免信（xìn）息（xī）保（bǎo）安的失误，从而降（jiàng）低了相（xiàng）应的风（fēng）险。正式推行ISO/IEC 27001:2005 并取得有关认证的机构（gòu）将受益匪（fěi）浅，以下列举其中（zhōng）数（shù）项：
由于按照国际标准实施（shī）适当的（de）控制措施（shī），机（jī）构便能自行将信息保安（ān）的（de）失误率降至较低（dī）
以系统化的方法处理符合（hé）法律的问题（tí），从而减低所需承担的法律责任风险
以系统化（huà）的方法计划及管理运营的（de）持续性

增加（jiā）客（kè）户、合作伙伴和（hé）相关（guān）人士对机构的（de）信心
提升营运收入（rù），并为（wéi）机（jī）构带来更多商机