ISO27001認證運行時可導(dǎo)致信息資產(chǎn)安全風(fēng)險的因素分類及責(zé)任部門
1、風(fēng)險：直接導(dǎo)致服務(wù)器運行中斷，介質(zhì)損壞，信息資產(chǎn)大范圍損壞的風(fēng)險，造成嚴(yán)重經(jīng)濟損失。由系統(tǒng)服務(wù)部承擔(dān)安全管理責(zé)任。主要原因有：
? 設(shè)備斷電
? 存儲介質(zhì)故障
? 感染病毒
2、二級風(fēng)險：直接導(dǎo)致信息資產(chǎn)被非法拷貝傳播，信息系統(tǒng)停止運行等重大故障，造成較大的經(jīng)濟損失。由系統(tǒng)服務(wù)部和各使用部門和研發(fā)部門共同承擔(dān)安全管理責(zé)任。主要原因有：
? 軟件、系統(tǒng)、平臺、數(shù)據(jù)庫管理員密碼泄露，非法登錄，運行數(shù)據(jù)被修改。
? 程序入侵
? 系統(tǒng)運行配置文件非法拷貝傳播，使安全管控配置數(shù)據(jù)外泄。
? 代碼BUG和溢出漏洞
? 外部攻擊
3、風(fēng)險：導(dǎo)致系統(tǒng)運行結(jié)果數(shù)據(jù)錯誤或業(yè)務(wù)數(shù)據(jù)被非法復(fù)制傳播，造成一定的經(jīng)濟損失。由系統(tǒng)維護部承擔(dān)安全管理責(zé)任。主要原因有：
? 業(yè)務(wù)管理員誤操作
? 系統(tǒng)管理員誤操作
? 操作人員帳號口令被。

什么是信息
1) 信息是經(jīng)過分析、共享和理解的數(shù)據(jù)或者資料。
2) 信息同時也是一種資產(chǎn)，就如同其它的商業(yè)資產(chǎn)一樣，對一個組織而言是具有*的，因而需要妥善保護。
3) 常見的信息：u信息、內(nèi)部信息、客戶信息、息
4) 信息的表現(xiàn)形式：
a) 列印或?qū)懺诩垙埳系模?br /> b) 用電子方式儲存的；
c) 以郵件傳輸（包括電子郵件）；
d) 以影視或膠片方式表現(xiàn)的；
e) 也可能存在于人的大腦中的 。

什么是信息安全
對于公司來說，確保：
1) 不被丟失、惡意篡改；
2) 知識產(chǎn)權(quán)不被??；
3) 公司業(yè)務(wù)在受到網(wǎng)絡(luò)攻擊、自然災(zāi)害等情況時，可在短時間內(nèi)恢復(fù)正常業(yè)務(wù)，繼續(xù)為客戶提供服務(wù)，將公司損失降低到小…等等

資產(chǎn)賦值常常是很困難的，因為需要對某些資產(chǎn)進行客觀的賦值，但不同的人員可能做出不同的判斷。應(yīng)該用明確的術(shù)語，通過書面形式描述作為每一資產(chǎn)賦值基礎(chǔ)的準(zhǔn)則。用于判斷資產(chǎn)*的可能準(zhǔn)則包括：
a) 資產(chǎn)的原始*；
b) 替代或重建的成本；
c) 資產(chǎn)的抽象*，如組織聲譽的*；
d) 由事件導(dǎo)致資產(chǎn)喪失保密性、完整性和可用性所帶來的成本。如果適用、還應(yīng)該考慮不可否認性、可審計性、真實性和可靠性；
e) 資產(chǎn)的其他資產(chǎn)依賴性。

管理部門職責(zé)：
1、行政部：
1)對辦公類設(shè)備固定資產(chǎn)做統(tǒng)一編號。
2)負責(zé)**辦公設(shè)備硬件類固定資產(chǎn)安全管理制度。
3)編制維護行政部硬件固定資產(chǎn)清單庫。

企業(yè)通過認證將可以向其客戶、競爭對手、供應(yīng)商、員工和投資方展示其在同行內(nèi)的地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強信息安全性的依據(jù),信任、信用及信心,使客戶及利益相關(guān)方感受到組織對信息安全的承諾。通過認證能夠向及行管部門組織對相關(guān)法律法規(guī)的符合性。