服务（wù）项（xiàng）目

新（xīn）闻资讯

便捷3C产品认证：线上申请...

联系（xì）我们

地址：赣州市章贡区会昌路9号锦绣锦（jǐn）程4栋1202室（shì）

电话：0797-8409678

传（chuán）真：0797-8409879

客服经理（lǐ）电（diàn）话：13970722186 18970771486

邮箱：736703710@qq.com

网址（zhǐ）：www.yingtan.shenghuo.chaozhou.14842.xinxiang.zz.pingliang.ww38.viennacitytours.com

新余ISO27001信息安全管理系统标准简介（2）

您的当前位置：首页 >> 服务项目 >> 新余ISO27001

新余ISO27001信息安全（quán）管理系统标准简介（2）

所属分类：新余ISO27001
点击次数：
发布日期：2021/06/17
在（zài）线询价

详（xiáng）细（xì）介绍（shào）

信息安全管理系统是运营风险整体管理系（xì）统的其中一部（bù）分，目的是建立、实施、推行、检讨、维持及改善信息（xī）安全。

机构在信息的机密性（xìng）、完整性和可用性三方面的目标（biāo）各是什么呢？什么程度的风险是可接受的？是否存在任何限制，如（rú）法律、法（fǎ）规或机构内部程（chéng）序？信息安全政策应该（gāi）是一份由行（háng）政总监签（qiān）署认可的文件。控（kòng）制（zhì）措施（shī）应采取由上至下（xià）的推行方式（shì）。

风险评估根据需要保护的（de）信息和可接受的（de）风险程度来识别真正（zhèng）的风险，并就这（zhè）些（xiē）风险出现的可能性与其影（yǐng）响（xiǎng）的严重性（xìng）作（zuò）出评（píng）估，从而（ér）辨别出（chū）机构需要管理的（de）风险，即（jí）下图红色部分内的风险。

风险管理 / 风险（xiǎn）处理
完成风险评（píng）估后，便要决定（dìng）如何处理这些风险（xiǎn）。

适（shì）用性报告 (Statement of Applicability)
识别出（chū）所（suǒ）有的保安措施，指出哪些对机（jī）构而言是适（shì）用或不适用的（de），并说明原因。须（xū）针对风（fēng）险评（píng）估的结果（guǒ）来选择控制措施。

II. 实施
选定了（le）控制（zhì）措施后，便需（xū）落实推行，同时（shí）也需制定程序以确保能够（gòu）迅速察觉到事故的发生并作出回（huí）应，并确保所（suǒ）有员工都了解信息安全的重要性，且确保其接受了适当的培训，及有能力执（zhí）行他们负责的保安任务。此（cǐ）外（wài），还要妥善管理所需的资源。

III. 核查
核查（chá）的目的是确（què）保控制措施（shī）都已推行，并能达到既定的目标。尽管有多种可（kě）行的核查方法，但只有内部审核与（yǔ）管理检讨是强（qiáng）制性的要求。

IV. 采取行（háng）动
      之后便需（xū）对核查结果采（cǎi）取适当的（de）行动，相关（guān）的（de）行动可（kě）以（yǐ）是：
      修正
      预防
      改善

总结
ISO/IEC 27001:2005 标准为所有行业的机（jī）构（gòu）都提供（gòng）了一套业（yè）务工具（jù），协助其（qí）避免信息保（bǎo）安的失误，从而降低了相应的风险。正式推（tuī）行（háng）ISO/IEC 27001:2005 并取得（dé）有关认证的机（jī）构（gòu）将受（shòu）益匪浅，以下列举其中（zhōng）数项：
由（yóu）于按照国际标准实（shí）施适当的（de）控（kòng）制措施，机构便能（néng）自行将信息保（bǎo）安的（de）失误率降至较低
以系统化（huà）的方法处理符（fú）合法律的问题，从而减低所需（xū）承担的法律责任风险
以系统化的（de）方法计划及管（guǎn）理运营的持续性

增加（jiā）客户、合作伙伴和相关人（rén）士对机构的（de）信心
提（tí）升（shēng）营运（yùn）收入（rù），并（bìng）为机构带来更（gèng）多商（shāng）机