ISO27001信息安全管理（lǐ）系统标准简介（2）

所属分类（lèi）：ISO27001
点击次数：
发布（bù）日期：2021/06/17
在线询价

详细介绍

信息安全管理系统是运营（yíng）风险整（zhěng）体管（guǎn）理（lǐ）系统的其（qí）中（zhōng）一部分，目的是建立、实施、推行、检（jiǎn）讨、维持及改善信息安全。

机构在信息（xī）的机密性、完整（zhěng）性和可用性三方面（miàn）的目（mù）标各是什么呢？什么程度（dù）的（de）风险是（shì）可接受的？是否（fǒu）存在任何限制，如法（fǎ）律、法（fǎ）规或机构（gòu）内部（bù）程序？信（xìn）息安全政策应该是（shì）一份由行（háng）政总监签署认可的文件。控制措施应采取（qǔ）由上至下的推行方式。

风（fēng）险评估根据需要保护的信（xìn）息和可接受（shòu）的风险程（chéng）度来识别真正（zhèng）的风险，并就这（zhè）些风险出（chū）现的可能性与其影响的严重（chóng）性作出评估，从而辨别出机构（gòu）需要管理的风（fēng）险，即下图红色部分内的风险。

风险管理 / 风险处（chù）理
完成风险评估后，便要（yào）决定如（rú）何处理（lǐ）这些风（fēng）险。

适用性报（bào）告 (Statement of Applicability)
识别出（chū）所有的保安措施，指出哪些对机构而言是适用或不适用的（de），并说明原因。须针对风险评估的（de）结（jié）果来（lái）选择（zé）控制措施。

II. 实（shí）施
选定了（le）控（kòng）制措施（shī）后，便需落实（shí）推行，同时（shí）也需制定程序（xù）以确保能够迅（xùn）速察觉到事故（gù）的发生并作出回（huí）应，并确保（bǎo）所（suǒ）有员工都了解信息（xī）安全的重要性，且确保其接受了适当的培训，及有能力执（zhí）行他们负责的保（bǎo）安（ān）任务。此外（wài），还要（yào）妥善管理所需的资源。

III. 核查
核查的目的是（shì）确（què）保控制措施都（dōu）已推行，并能达到既定的（de）目标（biāo）。尽管有多种（zhǒng）可（kě）行的（de）核查方法，但（dàn）只有（yǒu）内部审核与管理检讨是强制性（xìng）的要求。

IV. 采取行动（dòng）
      之后便需（xū）对核查结果采取（qǔ）适当（dāng）的行动，相关的行（háng）动可以是：
      修（xiū）正
      预防
      改善

总结（jié）
ISO/IEC 27001:2005 标准（zhǔn）为所有（yǒu）行业的机构都提供了一套业务工具，协助其避免信（xìn）息保安的失误，从而（ér）降低了相应的风（fēng）险。正式（shì）推行ISO/IEC 27001:2005 并（bìng）取得有关认证的机构将受（shòu）益匪浅，以下列举其（qí）中数（shù）项：
由（yóu）于（yú）按照国际标准实施适（shì）当的控制措（cuò）施，机构便（biàn）能自行将信息保（bǎo）安的失误（wù）率降至（zhì）较低
以系统化的方法处理符合（hé）法律（lǜ）的问题，从而减低（dī）所需承担的法律责（zé）任（rèn）风险
以系统化（huà）的（de）方法计划及管理运营的持续性

增加（jiā）客户、合作伙伴和相关人士对机构的信心
提升营运（yùn）收入，并为机构带来（lái）更多（duō）商（shāng）机