ISO27001認(rèn)證運(yùn)行時(shí)可導(dǎo)致信息資產(chǎn)安全風(fēng)險(xiǎn)的因素分類及責(zé)任部門(mén)
1、風(fēng)險(xiǎn)：直接導(dǎo)致服務(wù)器運(yùn)行中斷，介質(zhì)損壞，信息資產(chǎn)大范圍損壞的風(fēng)險(xiǎn)，造成嚴(yán)重經(jīng)濟(jì)損失。由系統(tǒng)服務(wù)部承擔(dān)安全管理責(zé)任。主要原因有：
? 設(shè)備斷電
? 存儲(chǔ)介質(zhì)故障
? 感染病毒
2、二級(jí)風(fēng)險(xiǎn)：直接導(dǎo)致信息資產(chǎn)被非法拷貝傳播，信息系統(tǒng)停止運(yùn)行等重大故障，造成較大的經(jīng)濟(jì)損失。由系統(tǒng)服務(wù)部和各使用部門(mén)和研發(fā)部門(mén)共同承擔(dān)安全管理責(zé)任。主要原因有：
? 軟件、系統(tǒng)、平臺(tái)、數(shù)據(jù)庫(kù)管理員密碼泄露，非法登錄，運(yùn)行數(shù)據(jù)被修改。
? 程序入侵
? 系統(tǒng)運(yùn)行配置文件非法拷貝傳播，使安全管控配置數(shù)據(jù)外泄。
? 代碼BUG和溢出漏洞
? 外部攻擊
3、風(fēng)險(xiǎn)：導(dǎo)致系統(tǒng)運(yùn)行結(jié)果數(shù)據(jù)錯(cuò)誤或業(yè)務(wù)數(shù)據(jù)被非法復(fù)制傳播，造成一定的經(jīng)濟(jì)損失。由系統(tǒng)維護(hù)部承擔(dān)安全管理責(zé)任。主要原因有：
? 業(yè)務(wù)管理員誤操作
? 系統(tǒng)管理員誤操作
? 操作人員帳號(hào)口令被。

管理部門(mén)職責(zé)：
1、行政部：
1)對(duì)辦公類設(shè)備固定資產(chǎn)做統(tǒng)一編號(hào)。
2)負(fù)責(zé)**辦公設(shè)備硬件類固定資產(chǎn)安全管理制度。
3)編制維護(hù)行政部硬件固定資產(chǎn)清單庫(kù)。

ISO27001的優(yōu)勢(shì)
1）通過(guò)定義、評(píng)估和控制風(fēng)險(xiǎn)，確保經(jīng)營(yíng)的持續(xù)性和能力
2）減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任
3）通過(guò)遵守*標(biāo)準(zhǔn)提高企業(yè)競(jìng)爭(zhēng)能力，提升企業(yè)形象
4）明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo)：謹(jǐn)防數(shù)據(jù)的誤用和丟失
5）建立安全工具使用方針
6）謹(jǐn)防技術(shù)訣竅的丟失
7）在組織內(nèi)部增強(qiáng)安全意識(shí)
8）可作為公共會(huì)計(jì)審計(jì)的證據(jù)