【咨詢內容介紹】

信息安全管理系統是運營風險整體管理系統的其中一部分，目的是建立、實施、推行、檢討、維持及改善信息安全。
  機構在信息的機密性、完整性和可用性三方面的目標各是什么呢？什么程度的風險是可接受的？是否存在任何限制，如法律、法規或機構內部程序？信息安全政策應該是一份由行政總監簽署認可的文件。控制措施應采取由上至下的推行方式。
  風險評估 根據需要保護的信息和可接受的風險程度來識別真正的風險，并就這些風險出現的可能性與其影響的嚴重性作出評估，從而辨別出機構需要管理的風險，即下圖紅色部分內的風險。
  風險管理 / 風險處理
  完成風險評估后，便要決定如何處理這些風險。
  適用性報告 (Statement of Applicability)
  識別出所有的保安措施，指出哪些對機構而言是適用或不適用的，并說明原因。必須針對風險評估的結果來選擇控制措施。

更新時間：2016/9/20 14:39:08