ISO27001認(rèn)證運(yùn)行時(shí)可導(dǎo)致信息資產(chǎn)安全風(fēng)險(xiǎn)的因素分類(lèi)及責(zé)任部門(mén)
1、風(fēng)險(xiǎn)：直接導(dǎo)致服務(wù)器運(yùn)行中斷，介質(zhì)損壞，信息資產(chǎn)大范圍損壞的風(fēng)險(xiǎn)，造成嚴(yán)重經(jīng)濟(jì)損失。由系統(tǒng)服務(wù)部承擔(dān)安全管理責(zé)任。主要原因有：
? 設(shè)備斷電
? 存儲(chǔ)介質(zhì)故障
? 感染病毒
2、二級(jí)風(fēng)險(xiǎn)：直接導(dǎo)致信息資產(chǎn)被非法拷貝傳播，信息系統(tǒng)停止運(yùn)行等重大故障，造成較大的經(jīng)濟(jì)損失。由系統(tǒng)服務(wù)部和各使用部門(mén)和研發(fā)部門(mén)共同承擔(dān)安全管理責(zé)任。主要原因有：
? 軟件、系統(tǒng)、平臺(tái)、數(shù)據(jù)庫(kù)管理員密碼泄露，非法登錄，運(yùn)行數(shù)據(jù)被修改。
? 程序入侵
? 系統(tǒng)運(yùn)行配置文件非法拷貝傳播，使安全管控配置數(shù)據(jù)外泄。
? 代碼BUG和溢出漏洞
? 外部攻擊
3、風(fēng)險(xiǎn)：導(dǎo)致系統(tǒng)運(yùn)行結(jié)果數(shù)據(jù)錯(cuò)誤或業(yè)務(wù)數(shù)據(jù)被非法復(fù)制傳播，造成一定的經(jīng)濟(jì)損失。由系統(tǒng)維護(hù)部承擔(dān)安全管理責(zé)任。主要原因有：
? 業(yè)務(wù)管理員誤操作
? 系統(tǒng)管理員誤操作
? 操作人員帳號(hào)口令被。

組織應(yīng)按照文件的控制要求進(jìn)行審核與批準(zhǔn)并發(fā)布實(shí)施，至此，信息安全管理體系將進(jìn)入運(yùn)行階段。在此期間，組織應(yīng)加強(qiáng)運(yùn)作力度，充分發(fā)揮體系本身的各項(xiàng)功能，及時(shí)發(fā)現(xiàn)體系策劃中存在的問(wèn)題，找出問(wèn)題根源，采取糾正措施，并按照更改控制程序要求對(duì)體系予以更改，以達(dá)到進(jìn)一步完善信息安全管理體系的目的。ISO27001認(rèn)證體系審核體系審核是為獲得審核證據(jù)，對(duì)體系進(jìn)行客觀的評(píng)價(jià)，以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的、立的并形成文件的檢查過(guò)程。體系審核包括內(nèi)部審核和外部審核(第三方審核)。內(nèi)部審核一般以組織名義進(jìn)行，可作為組織自我合格檢查的基礎(chǔ);外部審核由外部立的組織進(jìn)行，可以提供符合要求的認(rèn)證或注冊(cè)。至于應(yīng)采取哪些控制方式則需要周密計(jì)劃。并注意控制細(xì)節(jié)。

ISO27001認(rèn)證:
1. 目的和范圍
為了規(guī)定公司所采用的信息安全風(fēng)險(xiǎn)評(píng)估方法。通過(guò)識(shí)別信息資產(chǎn)、風(fēng)險(xiǎn)等級(jí)評(píng)估本公司的信息安全風(fēng)險(xiǎn)，選擇合適控制目標(biāo)和控制方式將信息安全風(fēng)險(xiǎn)控制在可接受的水平，保持業(yè)務(wù)持續(xù)性發(fā)展，以滿足信息安全管理方針的要求，特制訂本制度。
本制度適用信息安全管理體系范圍內(nèi)信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)。
2. 引用文件
1) 下列文件中的條款通過(guò)本制度的引用而成為本制度的條款。凡是注日期的引用文件，其隨后所有的修（不包括勘誤的內(nèi)容）或修訂版均不適用于本制度，然而，鼓勵(lì)各部門(mén)研究是否可使用這些文件的版本。凡是不注日期的引用文件，其版本適用于本制度。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技術(shù)-安全技術(shù)-信息安全管理體系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則
4) ISO/IEC 27005:2008《信息技術(shù)-安全技術(shù)-風(fēng)險(xiǎn)管理》
5) 《GB/T 20984-2007信息安全風(fēng)險(xiǎn)評(píng)估指南》
3. 職責(zé)和權(quán)限
1) 信息安全管理小組：負(fù)責(zé)匯總確認(rèn)《信息安全風(fēng)險(xiǎn)評(píng)估表》，并根據(jù)評(píng)估結(jié)果形成《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》和《余風(fēng)險(xiǎn)批示報(bào)告》。
2) 公司全體員工：在信息安全管理小組協(xié)調(diào)下，負(fù)責(zé)本部門(mén)使用或管理的資產(chǎn)的識(shí)別和風(fēng)險(xiǎn)評(píng)估；負(fù)責(zé)本部門(mén)所涉及的資產(chǎn)的具體安全控制工作。信息安全管理員在本部門(mén)信息資產(chǎn)發(fā)生變更時(shí)，需要及時(shí)清點(diǎn)和評(píng)估，并報(bào)送信息安全管理小組*新《信息安全風(fēng)險(xiǎn)評(píng)估表》。