服务项目

新（xīn）闻资讯（xùn）

便捷（jié）3C产品认证：线上申请...

联系我们

地址：赣州市章贡区会昌（chāng）路9号锦绣锦程4栋1202室

电（diàn）话：0797-8409678

传真：0797-8409879

客服经理（lǐ）电话：13970722186 18970771486

邮（yóu）箱（xiāng）：736703710@qq.com

网（wǎng）址：www.jindasv.baise.shiyan.bynr.xinxiang.zz.pingliang.ww38.viennacitytours.com

ISO27001信（xìn）息安（ān）全（quán）管（guǎn）理系统标准（zhǔn）简介（2）

您的当前位（wèi）置：首页 >> 服务项目 >> ISO27001

ISO27001信息安全（quán）管理系统标准简介（2）

所属分类：ISO27001
点击次（cì）数：
发布日期：2021/06/17
在（zài）线询价

详细介绍

信息安全管理系（xì）统是运营（yíng）风险整体管理系（xì）统的其中一部分，目的是建立、实施、推行、检讨、维持及改善（shàn）信息安全。

机构在信息的机密（mì）性、完整性和可用性三方面的目标各是（shì）什么呢？什么程度的风险是可接（jiē）受的（de）？是否存在任何限制，如法（fǎ）律（lǜ）、法规或机构内部程序？信息（xī）安全（quán）政策应该（gāi）是一份由行政（zhèng）总监签署（shǔ）认可（kě）的文件。控制（zhì）措施应采取由上至下的推行方（fāng）式。

风险评估（gū）根据需要（yào）保护的信（xìn）息和可（kě）接受的（de）风险程度来识别（bié）真正（zhèng）的风险，并就（jiù）这些风（fēng）险出现的可能性与其影响的严重性作出评估，从而辨别（bié）出机构需要管（guǎn）理的风险，即下图红色（sè）部分内（nèi）的风险。

风（fēng）险（xiǎn）管理（lǐ） / 风（fēng）险处理
完成（chéng）风险评估后，便（biàn）要决（jué）定如何处（chù）理这些风险。

适用性报告 (Statement of Applicability)
识（shí）别出所有的保安措（cuò）施，指出（chū）哪些对机（jī）构而言（yán）是适用（yòng）或（huò）不适用的，并说明原因。须针对风险评估的结果来选择控制措施。

II. 实施
选定了（le）控制措施（shī）后，便需落实推行（háng），同时也需制定程序（xù）以确保能够（gòu）迅速察觉（jiào）到（dào）事故的发生并作出回应，并确保所有员工（gōng）都了解信息（xī）安全的重要性，且确保（bǎo）其接受了适（shì）当的培训，及有（yǒu）能力执行他们负责（zé）的保安任务。此外，还要妥善管理所（suǒ）需（xū）的资源。

III. 核查
核（hé）查的目的（de）是确保（bǎo）控制（zhì）措施都（dōu）已推行（háng），并能达到既定（dìng）的目标（biāo）。尽管有（yǒu）多种（zhǒng）可（kě）行的核查方法（fǎ），但只有内部审核（hé）与管理（lǐ）检讨是强制性的要求。

IV. 采取行动
      之后便需对核查结果（guǒ）采（cǎi）取（qǔ）适（shì）当的行（háng）动（dòng），相关（guān）的（de）行动可以（yǐ）是：
      修正
      预防
      改善

总结（jié）
ISO/IEC 27001:2005 标准为所有（yǒu）行业的机构都提（tí）供了一套（tào）业务工具（jù），协助其避免信息（xī）保安的失误，从（cóng）而降低了相应（yīng）的风险。正式（shì）推行（háng）ISO/IEC 27001:2005 并取得有关认证的机构（gòu）将受益（yì）匪浅，以下（xià）列举其中数项：
由于按照国（guó）际（jì）标准实施适当的控制（zhì）措施，机构便（biàn）能（néng）自行将信息保安的失误率降至较（jiào）低（dī）
以系统化（huà）的方法处理符（fú）合（hé）法（fǎ）律的问（wèn）题，从而减低所需承担的法律责（zé）任风险
以系（xì）统化的方（fāng）法（fǎ）计划及管理运营的持续性（xìng）

增加客户、合作伙伴（bàn）和相关人士对机构的信心
提升营运收入，并为机构（gòu）带来更多（duō）商机