【咨询内容介绍】

信息安全管理系统是运营风险整体管理系统的其中一部分，目的是建立、实施、推行、检讨、维持及改善信息安全。
  机构在信息的机密性、完整性和可用性三方面的目标各是什么呢？什么程度的风险是可接受的？是否存在任何限制，如法律、法规或机构内部程序？信息安全政策应该是一份由行政总监签署认可的文件。控制措施应采取由上至下的推行方式。
  风险评估 根据需要保护的信息和可接受的风险程度来识别真正的风险，并就这些风险出现的可能性与其影响的严重性作出评估，从而辨别出机构需要管理的风险，即下图红色部分内的风险。
  风险管理 / 风险处理
  完成风险评估后，便要决定如何处理这些风险。
  适用性报告 (Statement of Applicability)
  识别出所有的保安措施，指出哪些对机构而言是适用或不适用的，并说明原因。必须针对风险评估的结果来选择控制措施。

更新时间：2016/9/20 14:39:08