服（fú）务项目（mù）

新闻资（zī）讯

便捷3C产品（pǐn）认证：线上申请...

联系我（wǒ）们

地址：赣州市（shì）章（zhāng）贡区会昌（chāng）路9号锦绣锦程4栋1202室（shì）

电（diàn）话（huà）：0797-8409678

传真：0797-8409879

客服经理电话：13970722186 18970771486

邮箱：736703710@qq.com

网址：www.coat.yiyang.haozhou.shanxi.linyi.jiaxing.zz.pingliang.ww38.viennacitytours.com

德兴ISO27001信息安全管理系统标准简介（2）

您的当前位置：首页 >> 服务（wù）项目 >> 德兴ISO27001

德兴ISO27001信息安全管理系（xì）统标（biāo）准简（jiǎn）介（2）

所属分类：德兴ISO27001
点击次数：
发布日期：2021/06/17
在线询价（jià）

详细介绍（shào）

信息安全管理系统是运营风险整体管理系统的其中一部分，目的是建立、实施、推行（háng）、检讨、维（wéi）持及改善信息（xī）安（ān）全。

机构在（zài）信（xìn）息的（de）机（jī）密性、完整性和可用性三方面的目（mù）标各是什么呢？什么程度的（de）风险是（shì）可接受（shòu）的？是否存在任何限制，如法律、法规或机构内部程序？信（xìn）息安全（quán）政策（cè）应该是（shì）一份由行政总监签署（shǔ）认可的（de）文件。控制措施应采取由（yóu）上至下的推行方式。

风险评估根据需要保护的信（xìn）息和可接受的风险程度（dù）来识别（bié）真（zhēn）正的风（fēng）险，并就这些风险（xiǎn）出现（xiàn）的可能（néng）性与其影响的严（yán）重性作（zuò）出评（píng）估，从而辨别出机构需要管理的风险，即下图红色部分内（nèi）的风险（xiǎn）。

风险管理（lǐ） / 风险处（chù）理
完（wán）成风险评估后，便要决（jué）定如（rú）何处理这些（xiē）风险。

适用性报告 (Statement of Applicability)
识别出（chū）所有的（de）保安措（cuò）施，指出哪些对机构而言是适用或（huò）不（bú）适用的（de），并（bìng）说明（míng）原因。须针对风（fēng）险评估的结果来选择控制措施。

II. 实施
选定了（le）控制措施后，便需落实推行，同（tóng）时也需制定程序以确保（bǎo）能（néng）够迅速察觉（jiào）到事（shì）故的发（fā）生（shēng）并（bìng）作（zuò）出（chū）回应，并（bìng）确保所有员工都了解信息安全的重要性，且（qiě）确保其接受了适（shì）当的（de）培（péi）训，及有能力执行他们负责的保安（ān）任务。此（cǐ）外，还（hái）要妥（tuǒ）善管理所需的资（zī）源。

III. 核（hé）查
核（hé）查（chá）的目的是确保控制（zhì）措施都已推行，并能达（dá）到既定的目标。尽管（guǎn）有多种（zhǒng）可行的核查方（fāng）法（fǎ），但（dàn）只（zhī）有内部审（shěn）核与管理检讨是强制性（xìng）的要求。

IV. 采取行动
      之后便需对核（hé）查结果采取适（shì）当的行动，相（xiàng）关（guān）的行动可以（yǐ）是（shì）：
      修正
      预防
      改善

总结
ISO/IEC 27001:2005 标（biāo）准为所有行业的机构都（dōu）提供了一（yī）套业（yè）务工具，协助其避（bì）免信（xìn）息保（bǎo）安的失误，从而降低了（le）相应的（de）风险。正式（shì）推行ISO/IEC 27001:2005 并取得有关认证的机（jī）构（gòu）将受益（yì）匪浅（qiǎn），以下（xià）列举其中数项：
由（yóu）于按照国（guó）际标准实施适（shì）当的控制措施，机构便能自行将信息保（bǎo）安（ān）的失误率降至（zhì）较低
以系统化的方法处（chù）理（lǐ）符合法（fǎ）律的问题，从而减低所需承担（dān）的法律责（zé）任风险（xiǎn）
以系统化（huà）的方法计（jì）划及管理运（yùn）营（yíng）的持续（xù）性

增加客户、合（hé）作伙伴和相（xiàng）关人士对（duì）机构的（de）信心
提（tí）升营运收（shōu）入，并为（wéi）机构带来（lái）更多商机