第1个回答 2017-08-17
1、强化员工意识,规范组织行为
实施信息安全管理体系可以强化员工的信息安全意识,规范组织的信息安全行为,避免由于个人有意或无意泄漏、破坏信息资产而给组织造成的巨大损失,维护组织的核心竞争力。
2、渗透业务层面,落实管理职责
实施信息安全管理体系可以在组织的各个业务层面系统地实施适宜的信息安全保护措施,引导各级管理者及时履行保护信息安全的责任。
3、识别信息资产,完善风险管理
组织可以更全面地识别和了解信息资产,并通过信息风险评估,找到重要信息资产、主要安全威胁和安全管理的薄弱点。实施信息安全风险管理,保证组织的信息资产在合理而完整的框架下得到妥善保护,确保信息环境能够有序而稳定地运作。
4、保护核心业务,保证业务持续性
完整的、全方位的和系统的管理体系可以使组织核心业务所赖以持续的各项信息资产得到妥善保护,并且建立有效的业务持续性管理框架,提高组织应对信息灾难的能力,确保组织核心业务的持续开展。
5、预防潜在威胁,降低事故损失
信息安全管理体系的建立和实施,能够预防和减少潜在信息安全事件的发生,从而降低信息安全事件给组织带来的损失;可以使用日事清记录每日的安全记录,做好班组的交接,能够及时应对信息安全事故,将损失降到最低程度。
6、证明遵标守法,提供能力信任
信息安全管理体系认证,是对组织建立符合ISO 27001标准的信息安全管理体系的第三方认证;可以向客户及相关方表明组织遵守了所有适用的标准和法律法规;可以向员工、客户、相关方和社会大众证明组织具备保护自身及相关方信息系统、知识产权、商业秘密等信息资产安全的能力,维护组织的声誉、品牌和客户信任。