欢迎(yíng)来到赣州qy千亿和宏儒企业管理(lǐ)服务(wù)有限公司网站(zhàn)!
咨询热线(xiàn):
18970771486
欢迎(yíng)来到赣州qy千亿和宏儒企业管理(lǐ)服务(wù)有限公司网站(zhàn)!
咨询热线(xiàn):
18970771486
地址:赣州(zhōu)市章贡(gòng)区会昌路9号锦绣锦程4栋1202室
电话:0797-8409678
传真:0797-8409879
客(kè)服经理(lǐ)电话:13970722186 18970771486
邮箱:736703710@qq.com
网(wǎng)址:www.yingtan.shenghuo.chaozhou.14842.xinxiang.zz.pingliang.ww38.viennacitytours.com
信息(xī)安全管理(lǐ)系统(tǒng)是(shì)运营风险整体管(guǎn)理系统的其中(zhōng)一部分,目(mù)的是建立、实施、推行、检讨(tǎo)、维持及改善信息安全。
机构在信息(xī)的机密性、完整性和(hé)可用(yòng)性三方面(miàn)的目标各是什么呢?什么(me)程度的风(fēng)险(xiǎn)是(shì)可接受的?是(shì)否存在任何限制,如(rú)法(fǎ)律、法(fǎ)规或机构内部(bù)程序?信息安全(quán)政策应该是一份由行政总监签署认(rèn)可的(de)文件。控制措施应采(cǎi)取(qǔ)由上至下的推(tuī)行方(fāng)式。
风险评估 根据需要保护的信(xìn)息和可接受的风险程度来识别(bié)真正的风险,并(bìng)就(jiù)这些风险出现(xiàn)的可(kě)能性与其(qí)影响的(de)严重性(xìng)作出评(píng)估(gū),从而辨(biàn)别出(chū)机构需要管理的风险,即下图(tú)红色(sè)部分内的风险。
风险管理 / 风(fēng)险处理
完成风险评估(gū)后,便要决定(dìng)如何处理这些风险。
适用性报告 (Statement of Applicability)
识别出所(suǒ)有的保(bǎo)安措(cuò)施,指(zhǐ)出哪(nǎ)些对机构而言(yán)是适用或(huò)不适用的,并说明原因。须针对风险评(píng)估的结果来选(xuǎn)择控制措施。
II. 实施
选定了控(kòng)制(zhì)措施(shī)后(hòu),便需落实推行,同时也(yě)需制定程序(xù)以确保能够(gòu)迅(xùn)速察觉(jiào)到事(shì)故的发生并作出回应,并(bìng)确(què)保所有员工都(dōu)了(le)解信(xìn)息安全的重要性,且确保其接(jiē)受了(le)适当的培训,及有能力执(zhí)行他(tā)们(men)负责的保安任(rèn)务(wù)。此外,还要妥善管理(lǐ)所(suǒ)需的资(zī)源。
III. 核查
核查的目的是(shì)确保控制措施都已推行,并能达到既定的目标。尽(jìn)管有多种可行的核查方法,但只有内部(bù)审(shěn)核与(yǔ)管理(lǐ)检讨(tǎo)是强制(zhì)性的要求(qiú)。
IV. 采取行动(dòng)
之后便需对核查结果采(cǎi)取(qǔ)适(shì)当的行动,相关的(de)行动可以是:
修正
预(yù)防
改善
总结
ISO/IEC 27001:2005 标准为所有行(háng)业的机构都提供了一套业务工具,协(xié)助(zhù)其避免信息保(bǎo)安(ān)的失误,从而降(jiàng)低了相应的风险。正式推行ISO/IEC 27001:2005 并(bìng)取(qǔ)得有关认证的机构将受(shòu)益匪浅,以下列举其中数项:
由于按(àn)照国际标(biāo)准实施适(shì)当(dāng)的控制措施,机构便能(néng)自行(háng)将(jiāng)信息保安的失误率降至较低
以系(xì)统(tǒng)化的(de)方法处理符(fú)合法律的问题,从(cóng)而(ér)减低所需承担(dān)的法(fǎ)律责任风险
以系(xì)统化的方法计划(huá)及管(guǎn)理运(yùn)营的(de)持续性
增加客户、合作(zuò)伙伴和相关人士对机构的信心
提升营运收入,并(bìng)为机构(gòu)带来更多商机(jī)
地址:赣州市章贡区会昌路9号锦绣锦程4栋1202室
电话:0797-8409678
传真(zhēn):0797-8409879
邮箱:736703710@qq.com
网址:www.yingtan.shenghuo.chaozhou.14842.xinxiang.zz.pingliang.ww38.viennacitytours.com
