咨询(xún)热线:
18970771486
咨询(xún)热线:
18970771486
地址:赣州市章贡区会昌路9号锦绣锦(jǐn)程4栋1202室(shì)
电(diàn)话(huà):0797-8409678
传真:0797-8409879
客服经理电话(huà):13970722186 18970771486
邮箱:736703710@qq.com
网(wǎng)址:www.yingtan.shenghuo.chaozhou.14842.xinxiang.zz.pingliang.ww38.viennacitytours.com
信息安全管理系统是(shì)运营风险(xiǎn)整体管理系统的其(qí)中一部分,目的是建立、实施、推行、检讨、维持及改善信息安全。
机(jī)构(gòu)在信息(xī)的机密性(xìng)、完整性和可用(yòng)性三方面的目标各是什么呢(ne)?什么程度的风(fēng)险是可(kě)接受的?是否存在任何限制,如法律、法(fǎ)规或机(jī)构内部程序(xù)?信息安(ān)全政策应该是一份由行政总监签署认可的文(wén)件。控制措施(shī)应采(cǎi)取由上至下的(de)推行方(fāng)式(shì)。
风险评估(gū) 根据需(xū)要保(bǎo)护的信息和可接(jiē)受的风(fēng)险程度来识别(bié)真正的风险,并就这些风险出现的可能性(xìng)与其影响的严重性作(zuò)出评估,从而辨别出(chū)机构需要(yào)管(guǎn)理的风险,即下图红(hóng)色部分内(nèi)的风险。
风险(xiǎn)管理 / 风险处理
完成风险评估后,便要决定如何处理这些风险(xiǎn)。
适用性报告 (Statement of Applicability)
识别出所有的保安措施,指出哪(nǎ)些(xiē)对机构而言是(shì)适(shì)用或(huò)不适(shì)用(yòng)的,并说(shuō)明(míng)原因。须针对风险评估的(de)结果来选择控(kòng)制(zhì)措施。
II. 实施
选定了控制措施后,便需(xū)落实推行,同时也需制定程(chéng)序以确保能够迅速察(chá)觉到事故的发生并作出回应,并确保所有员(yuán)工都了解信息安全的重要性,且(qiě)确保其接受了适当的培(péi)训,及有能力执行他(tā)们(men)负责的保安任(rèn)务。此(cǐ)外,还要妥善管理所需(xū)的资源。
III. 核(hé)查
核查的目的是确保控制措施都已推行,并能达(dá)到既定的(de)目(mù)标。尽管有多种可行(háng)的核查方法,但只有内部审核与管(guǎn)理检讨是强制性的要求。
IV. 采(cǎi)取(qǔ)行动
之(zhī)后便需对核查结果采取适当的行动,相关的(de)行动(dòng)可以是:
修正
预防
改善
总结
ISO/IEC 27001:2005 标准为所有行业的机构都提供了(le)一套业务工具,协助其避免(miǎn)信息保安的失误,从而降低(dī)了相应的风险。正式推行ISO/IEC 27001:2005 并取得有关认(rèn)证的(de)机构将受(shòu)益匪浅,以(yǐ)下(xià)列举其中数项:
由于按照国(guó)际(jì)标准实施适(shì)当的控制措施(shī),机构(gòu)便(biàn)能自行将信息保安的失误率降至较低
以系统化的方法处理符合(hé)法律的问题,从而(ér)减低所需承(chéng)担的法律责任风(fēng)险
以系统(tǒng)化(huà)的方法计划及管理运营的(de)持续性(xìng)
增加客户、合作伙伴和相(xiàng)关人士(shì)对机构(gòu)的信心(xīn)
提(tí)升营运收入,并(bìng)为(wéi)机构带来更(gèng)多商机
地址(zhǐ):赣州(zhōu)市章贡(gòng)区会昌路(lù)9号(hào)锦绣锦程4栋1202室
电话:0797-8409678
传真:0797-8409879
邮箱:736703710@qq.com
网(wǎng)址:www.yingtan.shenghuo.chaozhou.14842.xinxiang.zz.pingliang.ww38.viennacitytours.com
