佛山市沃博企业管理服务有限公司

主营:佛山ISO9001认证,佛山ISO认证,佛山认证咨询

免费店铺在线升级

联系方式
  • 公司: 佛山市沃博企业管理服务有限公司
  • 地址: 容桂天富来国际工业城三期22座(环球广场)807单元
  • 联系: 黄小姐
  • 手机: 15807572139
  • 电话: 0757-22177500
  • 微信:
  • 一键开店

佛山ISO27001,2005,的架构

2021-06-23 05:00:01  195次浏览 次浏览
价 格:11111

ISO/ IEC 27001:2005 的架构

ISO/ IEC 27001:2005 标准在 2005 年 10 月公布,同时取缔了多国采纳的英国标准BS 7799-2:2002 ,但新旧标准的要求并无太大分别。ISO / IEC 27001:2005 标准以 Edward Deming 博士提出的“计划-实施-核查-采取行动”循环周期作为制定蓝图,以实现持续改善的目标。

I. 计划

计划重要的部分是设定涵盖的范畴及区域,它可以是:

覆盖整个组织并涉及多个地点的办事处及/或厂房

只涉及一个办事处或厂房

只涉及一个多元化服务供应商的其中一个业务

计划的主要工作包括信息管理系统、风险评估、风险管理、风险处理措施和适用性报告。

信息管理系统是运营风险整体管理系统的其中一部分,目的是建立、实施、推行、检讨、维持及改善信息。

机构在信息的机密性、完整性和可用性三方面的目标各是什么呢?什么程度的风险是可接受的?是否存在任何限制,如法律、法规或机构内部程序?信息政策应该是一份由行政总监签署认可的文件。控制措施应采取由上至下的推行方式。

风险评估 根据需要保护的信息和可接受的风险程度来识别真正的风险,并就这些风险出现的可能性与其影响的严重性作出评估,从而辨别出机构需要管理的风险,即下图红色部分内的风险。

风险管理 / 风险处理

完成风险评估后,便要决定如何处理这些风险。

适用性报告 (Statement of Applicability)

识别出所有的保安措施,指出哪些对机构而言是适用或不适用的,并说明原因。必须针对风险评估的结果来选择控制措施。

II. 实施

选定了控制措施后,便需落实推行,同时也需制定程序以确保能够迅速察觉到事故的发生并作出回应,并确保所有员工都了解信息的重要性,且确保其接受了适当的培训,及有能力执行他们负责的保安任务。此外,还要妥善管理所需的资源。

III. 核查

核查的目的是确保控制措施都已推行,并能达到既定的目标。尽管有多种可行的核查方法,但只有内部审核与管理检讨是强制性的要求。

IV. 采取行动

后便需对核查结果采取适当的行动,相关的行动可以是:

修正

预防

改善

总结

ISO/IEC 27001:2005 标准为所有行业的机构都提供了一套业务工具,协助其避免信息保安的失误,从而降低了相应的风险。正式推行ISO/IEC 27001:2005 并取得有关认证的机构将受益匪浅,以下列举其中数项:

由于按照国际标准实施适当的控制措施,机构便能自行将信息保安的失误率降至

以系统化的方法处理符合法律的问题,从而减低所需承担的法律责任风险

以系统化的方法计划及管理运营的持续性

增加客户、合作伙伴和相关人士对机构的信心

提升营运收入,并为机构带来更多商机

网友评论
0条评论 0人参与
最新评论
  • 暂无评论,沙发等着你!
百业店铺 更多 >

特别提醒:本页面所展现的公司、产品及其它相关信息,均由用户自行发布。
购买相关产品时务必先行确认商家资质、产品质量以及比较产品价格,慎重作出个人的独立判断,谨防欺诈行为。

回到顶部