国产免费黄片和v片_日韩制服国产精品一区_午夜副利在线副利_欧美视频在线视频一区_午夜国产精品小蝌蚪在线观看_亚洲国产日韩a在线播放_五月天福利国产视频_男人的天堂无码动漫av_欧美丝袜一区二区_成人H动漫精品JK漫画软件

 
歡迎訪問廣州市金卓企業(yè)管理咨詢有限公司
   
ISO27001信息安全管理體系系統(tǒng)標(biāo)準(zhǔn)
來源: | 作者:佚名 | 發(fā)布時間: 2023-05-16 | 358 次瀏覽 | 分享到:

隨著網(wǎng)絡(luò)逐步的進(jìn)入社會。越來越多的接解到網(wǎng)絡(luò)。網(wǎng)絡(luò)的普及給人們的生活帶來了極大的便利;但網(wǎng)絡(luò)同時作一柄雙刃劍,給社會用個人也帶來了相當(dāng)?shù)耐{。當(dāng)信息被意外或刻意的傳給惡意的接收者時,對個人或單位都會帶來極大的傷害。有的企業(yè)會因?yàn)樾畔⒌耐庑苟归]。在當(dāng)今的信息時代,科技無疑為我們解決了很多問題。

國際標(biāo)準(zhǔn)組織(ISO)應(yīng)此類需求,制定了ISO27001:2011標(biāo)準(zhǔn),為如何建立、推行、維持及改善信息安全管理系統(tǒng)提供幫助。信息安全管理系統(tǒng)(ISMS)是高層管理人員用以監(jiān)察及控制信息安全、減少商業(yè)風(fēng)險和確保保安系統(tǒng)持續(xù)符合企業(yè)、客戶及法律要求的一個體系。   

ISO/IEC 27001:2011能協(xié)助機(jī)構(gòu)保護(hù)專利信息,同時也為制定統(tǒng)一的機(jī)構(gòu)保安標(biāo)準(zhǔn)搭建了一個平臺,更有助于提升安全管理的實(shí)務(wù)表現(xiàn)和增強(qiáng)機(jī)構(gòu)間商業(yè)往來的信心與信任。

什么機(jī)構(gòu)可采用 ISO/IEC 27001:2011 標(biāo)準(zhǔn)?

任何使用內(nèi)部或外部電腦系統(tǒng)、擁有機(jī)密資料及/或依靠信息系統(tǒng)進(jìn)行商業(yè)活動地機(jī)構(gòu),均可采用 ISO/IEC 27001:2011標(biāo)準(zhǔn)。簡單的說,也就是那些需要處理信息、并認(rèn)識到信息保護(hù)重要性的機(jī)構(gòu)。

ISO/IEC 27001 的控制目標(biāo)及措施

ISO/IEC27001制定的宗旨是確保機(jī)構(gòu)信息的機(jī)密性、完整性及可用性,為達(dá)成上述宗旨,該標(biāo)準(zhǔn)共提出了39個控制目標(biāo)及134項(xiàng)控制措施,推行ISO/IE 27001標(biāo)準(zhǔn)的機(jī)構(gòu)可在其中選擇適用于其業(yè)務(wù)的控制措施,同時也可增加其他的控制措施。而與ISO/IEC 27001相輔的ISO 17799:2011 標(biāo)準(zhǔn)是信息安全管理的實(shí)務(wù)守則,為如何推行控制措施提供指引。

ISO2700:2011 標(biāo)準(zhǔn)在 2011 年 10 月公布,同時取締了多國采納的英國標(biāo)準(zhǔn)BS

7799-2:2002 ,但新舊標(biāo)準(zhǔn)的要求并無太大分別。ISO / IEC 27001:2011 標(biāo)準(zhǔn)以 Edward Deming 博士提出的“計(jì)劃-實(shí)施-核查-采取行動”循環(huán)周期作為制定藍(lán)圖,以實(shí)現(xiàn)持續(xù)改善的目標(biāo)。

I. 計(jì)劃

計(jì)劃最重要的部分是設(shè)定涵蓋的范疇及區(qū)域,它可以是:

覆蓋整個組織并涉及多個地點(diǎn)的辦事處及/或廠房

只涉及一個辦事處或廠房

只涉及一個多元化服務(wù)供應(yīng)商的其中一個業(yè)務(wù)計(jì)劃的主要工作包括信息安全管理系統(tǒng)、風(fēng)險評估、風(fēng)險管理、風(fēng)險處理措施和適用性報告。

信息安全管理系統(tǒng)是運(yùn)營風(fēng)險整體管理系統(tǒng)的其中一部分,目的是建立、實(shí)施、推行、檢討、維持及改善信息安全。

機(jī)構(gòu)在信息的機(jī)密性、完整性和可用性三方面的目標(biāo)各是什么呢?什么程度的風(fēng)險是可接受的?是否存在任何限制,如法律、法規(guī)或機(jī)構(gòu)內(nèi)部程序?信息安全政策應(yīng)該是一份由行政總監(jiān)簽署認(rèn)可的文件。控制措施應(yīng)采取由上至下的推行方式。

風(fēng)險評估根據(jù)需要保護(hù)的信息和可接受的風(fēng)險程度來識別真正的風(fēng)險,并就這些風(fēng)險出現(xiàn)的可能性與其影響的嚴(yán)重性作出評估,從而辨別出機(jī)構(gòu)需要管理的風(fēng)險。

識別出所有的保安措施,指出哪些對機(jī)構(gòu)而言是適用或不適用的,并說明原因。必須針對風(fēng)險評估的結(jié)果來選擇控制措施。

II. 實(shí)施

選定了控制措施后,便需落實(shí)推行,同時也需制定程序以確保能夠迅速察覺到事故的發(fā)生并作出回應(yīng),并確保所有員工都了解信息安全的重要性,且確保其接受了適當(dāng)?shù)呐嘤?xùn),及有能力執(zhí)行他們負(fù)責(zé)的保安任務(wù)。此外,還要妥善管理所需的資源。

III. 核查

核查的目的是確保控制措施都已推行,并能達(dá)到既定的目標(biāo)。盡管有多種可行的核查方法,但只有內(nèi)部審核與管理檢討是強(qiáng)制性的要求。

IV. 采取行動

最后便需對核查結(jié)果采取適當(dāng)?shù)男袆?,相關(guān)的行動可以是:

◆修正

◆預(yù)防

◆改善

◆總結(jié)

ISO/IEC 27001:2011標(biāo)準(zhǔn)為所有行業(yè)的機(jī)構(gòu)都提供了一套業(yè)務(wù)工具,協(xié)助其避免信息保安的失誤,從而降低了相應(yīng)的風(fēng)險。正式推行ISO/IEC27001:2011 并取得有關(guān)認(rèn)證的機(jī)構(gòu)將受益匪淺,以下列舉其中數(shù)項(xiàng):

◆由于按照國際標(biāo)準(zhǔn)實(shí)施適當(dāng)?shù)目刂拼胧?,機(jī)構(gòu)便能自行將信息保安的失誤率降至最低;

◆以系統(tǒng)化的方法計(jì)劃及管理運(yùn)營的持續(xù)性;

◆以系統(tǒng)化的方法處理符合法律的問題,從而減低所需承擔(dān)的法律責(zé)任風(fēng)險;

◆提升營運(yùn)收入,并為機(jī)構(gòu)帶來更多商機(jī);

◆增加客戶、合作伙伴和相關(guān)人士對機(jī)構(gòu)的信心。


上一篇:
下一篇: