ISO27001信息安全管理（lǐ）系统（tǒng）标准简介（2）

所属分类：ISO27001
点击次数（shù）：
发布日期：2021/06/17
在线询价（jià）

详细介绍

信息安（ān）全管理系统是（shì）运营风险整体管理系（xì）统（tǒng）的其中一（yī）部分（fèn），目的是建立、实（shí）施、推行、检讨、维持（chí）及改善信息安全。

机构（gòu）在（zài）信息的机密性、完（wán）整性（xìng）和可（kě）用（yòng）性三方面（miàn）的（de）目（mù）标各（gè）是什么呢？什（shí）么（me）程度的（de）风险是可接受的？是否存在任何限制（zhì），如法律、法规或机构内部程序？信息安全政策应该是一份由行政总监签署（shǔ）认可的文件。控制措施（shī）应采取由上至下（xià）的推行方式。

风（fēng）险评（píng）估根据需要保护的（de）信息（xī）和（hé）可接（jiē）受的风（fēng）险程度来识（shí）别真正的风险，并就（jiù）这（zhè）些风险出现的可能性与其影响的严重性作出评估（gū），从（cóng）而辨别出（chū）机（jī）构需要管理的风险，即下图红色部分内的风险。

风险管（guǎn）理 / 风险（xiǎn）处理
完成风险评估后，便（biàn）要决定（dìng）如何处理（lǐ）这些风险。

适用性（xìng）报告 (Statement of Applicability)
识（shí）别出所有的保（bǎo）安措施（shī），指出哪些对机构而言是适用或不（bú）适用的，并说明原（yuán）因。须（xū）针对风险（xiǎn）评估的结果来选（xuǎn）择控（kòng）制措施（shī）。

II. 实施
选定（dìng）了（le）控制措施后，便需落实（shí）推（tuī）行，同（tóng）时也需制定程序以（yǐ）确保能（néng）够迅（xùn）速察觉到事故的发生并作出回应（yīng），并（bìng）确保所有员工都了（le）解信（xìn）息（xī）安全的（de）重要性，且确保其（qí）接受了适当的培训，及（jí）有（yǒu）能力执行（háng）他们负责的保安任务。此外，还要妥（tuǒ）善管理（lǐ）所需的资（zī）源。

III. 核查
核查的目的是确保控制措施都已推行，并能达到既定的目标。尽管有多种可行的核查方法，但只有（yǒu）内部审（shěn）核与管理检讨是强制性的要求。

IV. 采取（qǔ）行动（dòng）
      之后便（biàn）需对核查结果采取（qǔ）适当的行（háng）动，相（xiàng）关的行动可以是：
      修正
      预防
      改善

总结
ISO/IEC 27001:2005 标准为所有行业的机构都提供了一（yī）套业务工具，协（xié）助其避（bì）免信息保安的失误，从而降低了相应的风险。正式推行ISO/IEC 27001:2005 并取得（dé）有关认证的机构将受益匪浅（qiǎn），以下列（liè）举（jǔ）其中数项：
由于（yú）按（àn）照国（guó）际标准实施（shī）适当（dāng）的控制措施，机构（gòu）便能自行将信息（xī）保安的失误率降至较低
以系统化的方法处（chù）理符（fú）合法律的问题，从而减低所需承担的法律责任风险
以系统化（huà）的方法计划及管理运营的持续性

增加客（kè）户（hù）、合作伙伴和相关人士对机构的（de）信心（xīn）
提（tí）升营（yíng）运收入，并为机构带来更多商机