吉（jí）安ISO27001信息安全管理系统（tǒng）标准简介（2）

所属分（fèn）类（lèi）：吉安ISO27001
点（diǎn）击次（cì）数：
发布日期（qī）：2021/06/17
在线询价

详（xiáng）细介（jiè）绍

信息（xī）安全管理系（xì）统是运营（yíng）风险整（zhěng）体管理系（xì）统的（de）其中一部分，目的是建立（lì）、实施、推行、检（jiǎn）讨、维持及改善（shàn）信（xìn）息安全（quán）。

机构在（zài）信息的机密性、完（wán）整性和可用（yòng）性三方面的目标（biāo）各是什么呢？什么（me）程（chéng）度的（de）风（fēng）险是可接受（shòu）的？是（shì）否存在任（rèn）何（hé）限制，如法律、法规或机构内（nèi）部程序？信息安全（quán）政（zhèng）策应该是一份由（yóu）行政总监签署（shǔ）认可的文件。控（kòng）制（zhì）措施（shī）应采取由（yóu）上至下的推行方（fāng）式。

风险评估根据需（xū）要保护（hù）的信息和可接受（shòu）的风（fēng）险程度（dù）来识别（bié）真正（zhèng）的风险，并就这些风险出（chū）现的可能性（xìng）与其（qí）影响的严（yán）重性（xìng）作出评估，从而（ér）辨别出（chū）机构需要管理的风险（xiǎn），即下图红色部（bù）分内的（de）风（fēng）险。

风险管理（lǐ） / 风险（xiǎn）处理（lǐ）
完成风险评估后，便（biàn）要决定如何处理这些（xiē）风险。

适（shì）用性报告（gào） (Statement of Applicability)
识别出所有的（de）保安措施，指出（chū）哪些对机构而言（yán）是适用或不适用的，并说明原因。须针对（duì）风险评估的（de）结果来选择控制措施（shī）。

II. 实施（shī）
选定了控制（zhì）措施（shī）后（hòu），便需落实（shí）推行，同时也需（xū）制定程序以确保能够迅速察（chá）觉到（dào）事（shì）故的发生并作出回应，并确保所有（yǒu）员工都了解信息安全（quán）的重要性，且确保其（qí）接受了适当的培（péi）训，及有能（néng）力（lì）执行他（tā）们负责的保安任务（wù）。此外，还要妥善管理所需的资（zī）源。

III. 核查
核查的目的是确（què）保控制措施都（dōu）已推（tuī）行，并能达到既定（dìng）的目标。尽管有多种可（kě）行的核查方法（fǎ），但只（zhī）有内部审核（hé）与管理（lǐ）检讨（tǎo）是（shì）强制性的（de）要求。

IV. 采取行（háng）动
      之后便需对核查结果采取适当（dāng）的行动（dòng），相关的行动可以是：
      修正
      预防
      改善

总（zǒng）结
ISO/IEC 27001:2005 标准为所（suǒ）有行（háng）业的（de）机构都提（tí）供了一（yī）套业务工具，协助其避免信息保（bǎo）安（ān）的失误，从而降（jiàng）低了相（xiàng）应的（de）风险。正（zhèng）式推（tuī）行ISO/IEC 27001:2005 并（bìng）取得有关认（rèn）证的（de）机构将受益匪浅，以下列举其中数项（xiàng）：
由于按照国际标（biāo）准实施（shī）适当的控制（zhì）措施，机（jī）构（gòu）便能自（zì）行将（jiāng）信息保安的（de）失误率降至较低
以系统化的方（fāng）法处理符合法律的（de）问题，从（cóng）而减低所需承担（dān）的法（fǎ）律责任风险
以系统化的方法计划及管理运营的持续（xù）性

增加（jiā）客户、合作伙（huǒ）伴和相关人（rén）士对机构的信（xìn）心（xīn）
提升营运收（shōu）入，并为机（jī）构带来更多商机