总站
ISO27001认证| ISO27001基础知识| ISO27001咨询| 质量认证论坛
网站首页 > 总站 > ISO27001 > ISO27001咨询 >

ISO27001认证 信息安全ISO/ IEC 27001:2005 的架构 ISO27001认证公司 ISO27001

发布时间:2018-06-04 10:59 点击次数:

ISO27001认证 信息安全ISO/ IEC 27001:2005 的架构 ISO27001认证公司 ISO27001认证咨询公司
 
    ISO/ IEC 27001:2005 标准在 2005 年 10 月公布,同时取缔了多国采纳的英国标准BS 7799-2:2002 ,但新旧标准的要求并无太大分别。ISO / IEC 27001:2005 标准以 Edward Deming 博士提出的“计划-实施-核查-采取行动”循环周期作为制定蓝图,以实现持续改善的目标。
    I. 计划 
    计划最重要的部分是设定涵盖的范畴及区域,它可以是:
    覆盖整个组织并涉及多个地点的办事处及/或厂房 
    只涉及一个办事处或厂房 
    只涉及一个多元化服务供应商的其中一个业务
    计划的主要工作包括信息安全管理系统、风险评估、风险管理、风险处理措施和适用性报告。
    信息安全管理系统是运营风险整体管理系统的其中一部分,目的是建立、实施、推行、检讨、维持及改善信息安全。
    机构在信息的机密性、完整性和可用性三方面的目标各是什么呢?什么程度的风险是可接受的?是否存在任何限制,如法律、法规或机构内部程序?信息安全政策应该是一份由行政总监签署认可的文件。控制措施应采取由上至下的推行方式。
    风险评估 根据需要保护的信息和可接受的风险程度来识别真正的风险,并就这些风险出现的可能性与其影响的严重性作出评估,从而辨别出机构需要管理的风险,即下图红色部分内的风险。
    风险管理 / 风险处理 
    完成风险评估后,便要决定如何处理这些风险。
    适用性报告 (Statement of Applicability) 
    识别出所有的保安措施,指出哪些对机构而言是适用或不适用的,并说明原因。必须针对风险评估的结果来选择控制措施。
    II. 实施
    选定了控制措施后,便需落实推行,同时也需制定程序以确保能够迅速察觉到事故的发生并作出回应,并确保所有员工都了解信息安全的重要性,且确保其接受了适当的培训,及有能力执行他们负责的保安任务。此外,还要妥善管理所需的资源。
    III. 核查
    核查的目的是确保控制措施都已推行,并能达到既定的目标。尽管有多种可行的核查方法,但只有内部审核与管理检讨是强制性的要求。
    IV. 采取行动
    最后便需对核查结果采取适当的行动,相关的行动可以是:
    修正 
    预防 
    改善
ISO27001 ISO27001认证 ISO27000 ISO27000认证 ISO27001国际标准 ISO27001证书
 
(责任编辑:奔跑的稀饭)

【中鸿认证咨询-面向全国提供各项认证认可、企业管理培训及企业管理咨询服务。 客服中心电话:18908179001 联系QQ:568143011 1048325836 739457574】

相关文章
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
最新评论 进入详细评论页>>
推荐机构
关于我们| 加盟合作| 诚聘英才| 网站声明| 意见投诉| 网站地图| 联系我们
更多
Copyright © 2011-2020 中鸿认证咨询网 www.cnqr.org蜀ICP备1500852
面向全国提供服务 联系电话:18908179001 联系QQ:568143011 1048325836 739457574