ISO27001認(rèn)證運(yùn)行時(shí)可導(dǎo)致信息資產(chǎn)安全風(fēng)險(xiǎn)的因素分類及責(zé)任部門
1、一級(jí)風(fēng)險(xiǎn)：直接導(dǎo)致服務(wù)器運(yùn)行中斷，介質(zhì)損壞，信息資產(chǎn)大范圍損壞的風(fēng)險(xiǎn)，造成嚴(yán)重經(jīng)濟(jì)損失。由系統(tǒng)服務(wù)部承擔(dān)安全管理責(zé)任。主要原因有：
? 設(shè)備斷電
? 存儲(chǔ)介質(zhì)故障
? 感染病毒
2、二級(jí)風(fēng)險(xiǎn)：直接導(dǎo)致信息資產(chǎn)被非法拷貝傳播，信息系統(tǒng)停止運(yùn)行等重大故障，造成較大的經(jīng)濟(jì)損失。由系統(tǒng)服務(wù)部和各使用部門和研發(fā)部門共同承擔(dān)安全管理責(zé)任。主要原因有：
? 軟件、系統(tǒng)、平臺(tái)、數(shù)據(jù)庫管理員密碼泄露，非法登錄，運(yùn)行數(shù)據(jù)被修改。
? 程序入侵
? 系統(tǒng)運(yùn)行配置文件非法拷貝傳播，使安全管控配置數(shù)據(jù)外泄。
? 代碼BUG和溢出漏洞
? 外部攻擊
3、風(fēng)險(xiǎn)：導(dǎo)致系統(tǒng)運(yùn)行結(jié)果數(shù)據(jù)錯(cuò)誤或業(yè)務(wù)數(shù)據(jù)被非法復(fù)制傳播，造成一定的經(jīng)濟(jì)損失。由系統(tǒng)維護(hù)部承擔(dān)安全管理責(zé)任。主要原因有：
? 業(yè)務(wù)管理員誤操作
? 系統(tǒng)管理員誤操作
? 操作人員帳號(hào)口令被。

· 將現(xiàn)有管理體系和業(yè)務(wù)流程整合，規(guī)范IT部門服務(wù)水平，規(guī)范工作流程，降低導(dǎo)致的風(fēng)險(xiǎn)；
· 提高IT部門相關(guān)員工的素質(zhì)，提高員工的服務(wù)能力和工作效率；
· 提升IT部門整體運(yùn)作及部門間溝通的能力。

ISO27001認(rèn)證:
1. 風(fēng)險(xiǎn)識(shí)別
通過進(jìn)行風(fēng)險(xiǎn)識(shí)別活動(dòng)，識(shí)別了以下內(nèi)容：
1) 識(shí)別了信息安全管理體系范圍內(nèi)的資產(chǎn)及其責(zé)任人；
2) 識(shí)別了資產(chǎn)所面臨的威脅；
3) 識(shí)別了可能被威脅利用的脆弱點(diǎn)；
4) 識(shí)別了喪失保密性、完整性和可用性可能對(duì)資產(chǎn)造成的影響。
2. 風(fēng)險(xiǎn)估計(jì)與評(píng)價(jià)
1) 通過對(duì)資產(chǎn)的保密性（C）、完整性（I）、可用性（A）及業(yè)務(wù)影響度（BI）賦值對(duì)公司資產(chǎn)喪失CIA（BI）所造成的后果進(jìn)行了判斷。

ISO27001認(rèn)證目標(biāo)：
加強(qiáng)固定資產(chǎn)的管理，保證固定資產(chǎn)的完好無損，防止資產(chǎn)流失，使公司固定資產(chǎn)能夠*好的為公司運(yùn)營(yíng)及管理服務(wù)。

管理部門職責(zé)：
1、行政部：
1)對(duì)辦公類設(shè)備固定資產(chǎn)做統(tǒng)一編號(hào)。
2)負(fù)責(zé)**辦公設(shè)備硬件類固定資產(chǎn)安全管理制度。
3)編制維護(hù)行政部硬件固定資產(chǎn)清單庫。

織全體人員都參與進(jìn)來，從而保證大家在思路上的共識(shí)；（8）體系運(yùn)行模式滿足原則遵照PDCA過程方法來對(duì)體系進(jìn)行不間斷的持續(xù)改進(jìn)；（9）工具接口滿足原則如要對(duì)IT服務(wù)管理與信息安全，要建設(shè)兩個(gè)系統(tǒng)時(shí)，要求兩個(gè)系統(tǒng)要設(shè)計(jì)詳細(xì)的接口，并有的文檔來記錄接口定義。通過以往的項(xiàng)目經(jīng)驗(yàn)及對(duì)兩套體系的研究，歸納與總結(jié)ISO20000與ISO27001的體系對(duì)比，兩套體系整合的可行性可能會(huì)存在以下幾個(gè)方面，（1）體系實(shí)施人員的整合作為兩套體系整合的要素，也是整合重要的因素，只有對(duì)實(shí)施人員的統(tǒng)一管理與任務(wù)分派，才能*好的管理體系實(shí)施與改進(jìn)。即使人員有很大變動(dòng)時(shí)，也能保證正常的服務(wù)運(yùn)營(yíng)；（2）體系規(guī)范的整合體系實(shí)施人員通過自身研究或借助咨詢公司深入研究?jī)商左w系規(guī)范。