ISO/ IEC 27001:2005 的架構(gòu)

ISO/ IEC 27001:2005 標準在 2005 年 10 月公布，同時取締了多國采納的英國標準BS 7799-2:2002 ，但新舊標準的要求并無太大分別。ISO / IEC 27001:2005 標準以 Edward Deming 博士提出的“計劃-實施-核查-采取行動”循環(huán)周期作為制定藍圖，以實現(xiàn)持續(xù)改善的目標。

I. 計劃

計劃重要的部分是設(shè)定涵蓋的范疇及區(qū)域，它可以是：

覆蓋整個組織并涉及多個地點的辦事處及/或廠房

只涉及一個辦事處或廠房

只涉及一個多元化服務(wù)供應(yīng)商的其中一個業(yè)務(wù)

計劃的主要工作包括信息管理系統(tǒng)、風險評估、風險管理、風險處理措施和適用性報告。

信息管理系統(tǒng)是運營風險整體管理系統(tǒng)的其中一部分，目的是建立、實施、推行、檢討、維持及改善信息。

機構(gòu)在信息的機密性、完整性和可用性三方面的目標各是什么呢？什么程度的風險是可接受的？是否存在任何限制，如法律、法規(guī)或機構(gòu)內(nèi)部程序？信息政策應(yīng)該是一份由行政總監(jiān)簽署認可的文件?？刂拼胧?yīng)采取由上至下的推行方式。

風險評估 根據(jù)需要保護的信息和可接受的風險程度來識別真正的風險，并就這些風險出現(xiàn)的可能性與其影響的嚴重性作出評估，從而辨別出機構(gòu)需要管理的風險，即下圖紅色部分內(nèi)的風險。

風險管理 / 風險處理

完成風險評估后，便要決定如何處理這些風險。

適用性報告 (Statement of Applicability)

識別出所有的保安措施，指出哪些對機構(gòu)而言是適用或不適用的，并說明原因。必須針對風險評估的結(jié)果來選擇控制措施。

II. 實施

選定了控制措施后，便需落實推行，同時也需制定程序以確保能夠迅速察覺到事故的發(fā)生并作出回應(yīng)，并確保所有員工都了解信息的重要性，且確保其接受了適當?shù)呐嘤?，及有能力?zhí)行他們負責的保安任務(wù)。此外，還要妥善管理所需的資源。

III. 核查

核查的目的是確保控制措施都已推行，并能達到既定的目標。盡管有多種可行的核查方法，但只有內(nèi)部審核與管理檢討是強制性的要求。

IV. 采取行動

后便需對核查結(jié)果采取適當?shù)男袆?，相關(guān)的行動可以是：

修正

預(yù)防

改善

總結(jié)

ISO/IEC 27001:2005 標準為所有行業(yè)的機構(gòu)都提供了一套業(yè)務(wù)工具，協(xié)助其避免信息保安的失誤，從而降低了相應(yīng)的風險。正式推行ISO/IEC 27001:2005 并取得有關(guān)認證的機構(gòu)將受益匪淺，以下列舉其中數(shù)項：

由于按照國際標準實施適當?shù)目刂拼胧?，機構(gòu)便能自行將信息保安的失誤率降至

以系統(tǒng)化的方法處理符合法律的問題，從而減低所需承擔的法律責任風險

以系統(tǒng)化的方法計劃及管理運營的持續(xù)性

增加客戶、合作伙伴和相關(guān)人士對機構(gòu)的信心

提升營運收入，并為機構(gòu)帶來更多商機