ISO27001認證運行時可導(dǎo)致信息資產(chǎn)安全風(fēng)險的因素分類及責(zé)任部門
1、風(fēng)險：直接導(dǎo)致服務(wù)器運行中斷，介質(zhì)損壞，信息資產(chǎn)大范圍損壞的風(fēng)險，造成嚴重經(jīng)濟損失。由系統(tǒng)服務(wù)部承擔(dān)安全管理責(zé)任。主要原因有：
? 設(shè)備斷電
? 存儲介質(zhì)故障
? 感染病毒
2、二級風(fēng)險：直接導(dǎo)致信息資產(chǎn)被非法拷貝傳播，信息系統(tǒng)停止運行等重大故障，造成較大的經(jīng)濟損失。由系統(tǒng)服務(wù)部和各使用部門和研發(fā)部門共同承擔(dān)安全管理責(zé)任。主要原因有：
? 軟件、系統(tǒng)、平臺、數(shù)據(jù)庫管理員密碼泄露，非法登錄，運行數(shù)據(jù)被修改。
? 程序入侵
? 系統(tǒng)運行配置文件非法拷貝傳播，使安全管控配置數(shù)據(jù)外泄。
? 代碼BUG和溢出漏洞
? 外部攻擊
3、風(fēng)險：導(dǎo)致系統(tǒng)運行結(jié)果數(shù)據(jù)錯誤或業(yè)務(wù)數(shù)據(jù)被非法復(fù)制傳播，造成一定的經(jīng)濟損失。由系統(tǒng)維護部承擔(dān)安全管理責(zé)任。主要原因有：
? 業(yè)務(wù)管理員誤操作
? 系統(tǒng)管理員誤操作
? 操作人員帳號口令被。

什么是信息
1) 信息是經(jīng)過分析、共享和理解的數(shù)據(jù)或者資料。
2) 信息同時也是一種資產(chǎn)，就如同其它的商業(yè)資產(chǎn)一樣，對一個組織而言是具有*的，因而需要妥善保護。
3) 常見的信息：u信息、內(nèi)部信息、客戶信息、息
4) 信息的表現(xiàn)形式：
a) 列印或?qū)懺诩垙埳系模?br /> b) 用電子方式儲存的；
c) 以郵件傳輸（包括電子郵件）；
d) 以影視或膠片方式表現(xiàn)的；
e) 也可能存在于人的大腦中的 。

什么是信息安全
對于公司來說，確保：
1) 不被丟失、惡意篡改；
2) 知識產(chǎn)權(quán)不被?。?br /> 3) 公司業(yè)務(wù)在受到網(wǎng)絡(luò)攻擊、自然災(zāi)害等情況時，可在短時間內(nèi)恢復(fù)正常業(yè)務(wù)，繼續(xù)為客戶提供服務(wù)，將公司損失降低到小…等等

· 將現(xiàn)有管理體系和業(yè)務(wù)流程整合，規(guī)范IT部門服務(wù)水平，規(guī)范工作流程，降低導(dǎo)致的風(fēng)險；
· 提高IT部門相關(guān)員工的素質(zhì)，提高員工的服務(wù)能力和工作效率；
· 提升IT部門整體運作及部門間溝通的能力。

ISO27001認證:
1. 風(fēng)險識別
通過進行風(fēng)險識別活動，識別了以下內(nèi)容：
1) 識別了信息安全管理體系范圍內(nèi)的資產(chǎn)及其責(zé)任人；
2) 識別了資產(chǎn)所面臨的威脅；
3) 識別了可能被威脅利用的脆弱點；
4) 識別了喪失保密性、完整性和可用性可能對資產(chǎn)造成的影響。
2. 風(fēng)險估計與評價
1) 通過對資產(chǎn)的保密性（C）、完整性（I）、可用性（A）及業(yè)務(wù)影響度（BI）賦值對公司資產(chǎn)喪失CIA（BI）所造成的后果進行了判斷。

織全體人員都參與進來，從而大家在思路上的共識；（8）體系運行模式滿足原則遵照PDCA過程方法來對體系進行不間斷的持續(xù)改進；（9）工具接口滿足原則如要對IT服務(wù)管理與信息安全，要建設(shè)兩個系統(tǒng)時，要求兩個系統(tǒng)要設(shè)計詳細的接口，并有的文檔來記錄接口定義。通過以往的項目經(jīng)驗及對兩套體系的研究，歸納與總結(jié)ISO20000與ISO27001的體系對比，兩套體系整合的可行性可能會存在以下幾個方面，（1）體系實施人員的整合作為兩套體系整合的要素，也是整合重要的因素，只有對實施人員的統(tǒng)一管理與任務(wù)分派，才能*好的管理體系實施與改進。即使人員有很大變動時，也能正常的服務(wù)運營；（2）體系規(guī)范的整合體系實施人員通過自身研究或借助咨詢公司深入研究兩套體系規(guī)范。
ISO27001的優(yōu)勢
1）通過定義、評估和控制風(fēng)險，確保經(jīng)營的持續(xù)性和能力
2）減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任
3）通過遵守*標準提高企業(yè)競爭能力，提升企業(yè)形象
4）明確定義所有組織的內(nèi)部和外部的信息接口目標：謹防數(shù)據(jù)的誤用和丟失
5）建立安全工具使用方針
6）謹防技術(shù)訣竅的丟失
7）在組織內(nèi)部增強安全意識
8）可作為公共會計審計的證據(jù)
ISO27001認證:
1. 目的和范圍
為了規(guī)定公司所采用的信息安全風(fēng)險評估方法。通過識別信息資產(chǎn)、風(fēng)險等級評估本公司的信息安全風(fēng)險，選擇合適控制目標和控制方式將信息安全風(fēng)險控制在可接受的水平，保持業(yè)務(wù)持續(xù)性發(fā)展，以滿足信息安全管理方針的要求，特制訂本制度。
本制度適用信息安全管理體系范圍內(nèi)信息安全風(fēng)險評估活動。
2. 引用文件
1) 下列文件中的條款通過本制度的引用而成為本制度的條款。凡是注日期的引用文件，其隨后所有的修（不包括勘誤的內(nèi)容）或修訂版均不適用于本制度，然而，鼓勵各部門研究是否可使用這些文件的版本。凡是不注日期的引用文件，其版本適用于本制度。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技術(shù)-安全技術(shù)-信息安全管理體系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技術(shù)-安全技術(shù)-信息安全管理實施細則
4) ISO/IEC 27005:2008《信息技術(shù)-安全技術(shù)-風(fēng)險管理》
5) 《GB/T 20984-2007信息安全風(fēng)險評估指南》
3. 職責(zé)和權(quán)限
1) 信息安全管理小組：負責(zé)匯總確認《信息安全風(fēng)險評估表》，并根據(jù)評估結(jié)果形成《信息安全風(fēng)險評估報告》和《余風(fēng)險批示報告》。
2) 公司全體員工：在信息安全管理小組協(xié)調(diào)下，負責(zé)本部門使用或管理的資產(chǎn)的識別和風(fēng)險評估；負責(zé)本部門所涉及的資產(chǎn)的具體安全控制工作。信息安全管理員在本部門信息資產(chǎn)發(fā)生變更時，需要及時清點和評估，并報送信息安全管理小組*新《信息安全風(fēng)險評估表》。
內(nèi)部組織及溝通
1) 信息安全工作小組組織各個部門通過公告、內(nèi)部網(wǎng)絡(luò)、宣傳物品、活動、通告、會議及培訓(xùn)把有關(guān)信息安全方面的政策及其它事項傳達予各員工；
2) 員工對公司信息安全管理體系有任何意見可向其部門主管或其所在部門信息安全員建議、投訴；部門主管或信息安全員將員工的意見分類后向信息安全工作小組反映并填寫《信息安全管理體系意見表》，信息安全工作小組聯(lián)同各部門按此表格進行跟進并進行有關(guān)調(diào)查；
3) 信息安全工作小組負責(zé)收集和匯總《機構(gòu)及特定利益團體聯(lián)系表》的信息。
4) 信息安全管理體系的管理評審結(jié)果應(yīng)由信息安全工作小組向各部門負責(zé)人員講解及監(jiān)察其執(zhí)行情況；
5) 信息安全工作小組聯(lián)同各部門建立及維護信息安全管理體系的文件控制制度；
6) 每月召開安全例會，傳達公司安全精神和公司內(nèi)部信息安全相關(guān)工作；
7) 員工有關(guān)于信息安全管理體系方面的建議和問題可以通過email直接發(fā)郵件