ISO 27001 的基石在于管理风险和机遇。该标准的导言明确强调了信息安全管理系统(ISMS)在保护信息的保密性、完整性和可用性方面的重要性。要让相关各方充满信心,就必须建立一个强大的风险和机遇管理系统。
第 6.1 条 - 应对风险和机遇的行动
花时间理解和执行第 6.1 条至关重要。这需要深思熟虑,并与团队合作,设计出一套适合贵公司业务的系统。学习风险管理指南 ISO 31000 是一个很好的起点。该标准提供了有效风险管理所需的原则、框架和流程。
ISO 31000 中概述的风险管理流程包括界定范围、内容和风险标准;确保员工参与;进行风险评估(识别、分析、评价);确定风险处理方法;以及持续监控和审查。可以将已有的风险管理系统(如 ISO 9001)整合到 ISMS 中,以提高效率。
利用这些基本原理,创建适合信息安全的风险流程。根据可能性和后果制定风险标准,对风险进行优先排序。ISO 27001 附件 A 提供了一份控制措施清单(2022 版为 93 项),简化了风险处理的确定过程。通过将已识别的风险与控制措施联系起来并创建信息安全风险登记册,您就建立了一份概括多个 ISO 27001 条款的基础文件。
第 6.2 条--信息安全目标和实现目标的规划
制定信息安全目标是一项细致入微的任务。大多数公司都有销售、营销和运营方面的目标,而定义信息安全目标则需要不同程度的考虑。实现零信息安全事故这样的普通目标需要仔细评估,因为存在潜在的隐患,例如事故报告不足。
ISO 27001 建议从附件 A 中的风险评估和处理中得出目标。使用 SMART 框架--智能、可衡量、可实现、现实和及时--可确保目标定义明确且可实现。必须在目标数量上取得适当的平衡;通常,我们看到的最佳结果是企业拥有 3 到 5 个目标,重点关注员工参与、ISO 27001 认证和 GDPR 合规性等领域。
向员工明确传达目标至关重要。召开员工会议讨论每个目标,概述计划和时间框架,明确角色,确定责任,并提供打印输出以供参考,这些都能加深员工对目标的理解。定期监测和评估可确保您的工作步入正轨,并在必要时做出调整。
第 6.3 条--变更管理
更新版 ISO 27001 包含一个新条款,专门概述了应如何管理影响 ISMS 的变更。这通常是通过实施正式的变更管理系统来实现的,在该系统中,变更会被记录下来,然后在实施前进行讨论和规划。
良好的变更管理流程应考虑所需的工作量、业务的哪些部分会受到影响以及这些部分中的任何利益相关者。重要的是,还应考虑任何潜在的意外后果。
在进行变更时,应将变更记录在案,以协助跟踪变更情况,并找出任何潜在问题发生的原因。
第 6 条的启示:
- 将机会纳入改进流程。
- 制定易于使用的风险标准,用于列出风险并确定优先次序。
- 仔细考虑并确定目标。
- 监控、评估结果并重新评估风险和机遇,以便持续改进。
- 优先进行沟通,确保每个人都有清晰的认识
由 DQS 提供
- DQS 提供经认可的ISO 27001 认证和ISO 27701 认证服务
- DQS HK 提供私隱影響評估 (PIA)服務
- DQS HK 提供安全風險評估及審計 (SRAA)服務
- DQS Academy 提供ISO 27001:2022 內部審計員培訓
- DQS Academy 提供ISO 27701:2019 PIMS 理解培训
DQS通讯
了解最新资讯,订阅我们的通讯