������信息安全管理系統是運營風險整體管理系統的其中一部分,目的是建立、實施、推行、檢討、維持及改善信息安全。
���������機構在信息的機密性、完整性和可用性三方面的目標各是什么呢?什么程度的風險是可接受的?是否存在任何限制,如法律、法規或機構內部程序?信息安全政策應該是一份由行政總監簽署認可的文件。控制措施應采取由上至下的推行方式。
�����風險評估 根據需要保護的信息和可接受的風險程度來識別真正的風險,并就這些風險出現的可能性與其影響的嚴重性作出評估,從而辨別出機構需要管理的風險,即下圖紅色部分內的風險。
風險管理 / 風險處理
完成風險評估后,便要決定如何處理這些風險。
適用性報告 (Statement of Applicability)
������識別出所有的保安措施,指出哪些對機構而言是適用或不適用的,并說明原因。須針對風險評估的結果來選擇控制措施。
II. 實施
�����選定了控制措施后,便需落實推行,同時也需制定程序以確保能夠迅速察覺到事故的發生并作出回應,并確保所有員工都了解信息安全的重要性,且確保其接受了適當的培訓,及有能力執行他們負責的保安任務。此外,還要妥善管理所需的資源。
III. 核查
��������核查的目的是確保控制措施都已推行,并能達到既定的目標。盡管有多種可行的核查方法,但只有內部審核與管理檢討是強制性的要求。
IV. 采取行動
之后便需對核查結果采取適當的行動,相關的行動可以是:
修正
預防
改善
總結
ISO/IEC 27001:2005 標準為所有行業的機構都提供了一套業務工具,協助其避免信息保安的失誤,從而降低了相應的風險。正式推行ISO/IEC 27001:2005 并取得有關認證的機構將受益匪淺,以下列舉其中數項:
由于按照國際標準實施適當的控制措施,機構便能自行將信息保安的失誤率降至較低
以系統化的方法處理符合法律的問題,從而減低所需承擔的法律責任風險
以系統化的方法計劃及管理運營的持續性
增加客戶、合作伙伴和相關人士對機構的信心
提升營運收入,并為機構帶來更多商機
