无论采取什么样的控制措施，都不可能达到百分之百的安全,总有可能发生信息安全事件，因此亡羊补牢式的信息安全事件便成了整个管理体系中的重要的一环。

信息安全事件犹如信息安全管理体系中的不合格品，必须采取措施加以预防。这就要求雇员、承包方和第三方人员都有尽可能快的按照正式的事件报告和上报程序,将信息安全事态和弱点报告给指定的联系点，以便尽早采取措施，降低信息安全事件发生的可能性。

信息安全事件的检测事件管理的开始，应该建立正常的信息安全事件报告.事故应答和分类机制，在接到信息安全事件报告后着手采取措施。应建立管理职责和程序,以确保能对信息安全事故作出快速、有效和有序的响应。应建立-套机制来量化、 监视和评审信息安全事故，积累事故的历史数据，可以有效的估算发生的频率和发生后的损失，而且可以有效的采取措施防止事故的再次发生。10.业务连续性管理解析

对企业来说，业务连续性管理是一项重要的、 综合的管理，涉及企业的诸多方面，是信息安全活动中很重要的一个方面。

防止业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保他们的及时恢复。为通过和恢复控制的组合，将对机构的影响减少到最低水平,并能从信息资产的损失中恢复到可以接受的程度，实现业务连续性管理过程。

符合性解析

满足我国当前的法律法规中关于信息安全方面的要求是任何组织必须要做到的，其次是满足合同要求。组织制定的规章制度和技术要求等。

对于法律法规方面的要求，应从组织的法律顾问或者合格的法律从业人员处获得特定的法律要求建议。法律要求因国家而异，而且对于在一一个国家产生的信息发送到另一个国家的法律要求也不同。法律方面的要求也包括知识产权、记录保持、数据以及密码控制等方面。

对于组织自身安全策略和标准以及技术符合性，则应定期评审信息系统的安全,这种评审应按照适当的安全策略进行。审核技术平台信息系统，看其是否符合适用的安全实施标准和文件化的安全控制措施。3附录部分

ISO/IEC27001的附录分为附录A.附录B和附录C三部分。附录A为规范性附录，列出了实施信息安全管理

系统的控制目标和控制措施，与中文部分内容-样,在附录A中选择控制目标和控制措施是规定的信息安全管理

系统过程的一部分。附录B和附录C属于资料性附录，附录B中的列表经济合作与发展组织原则和该标准的对照,

华菱咨询成立至今，我们的咨询师团队已经为5000多家企事业单位提供各项咨询及培训服务，并获得了客户及业界的一致好评，欢迎您选择、体验华菱咨询的优质服务。

经过20多年的发展与实践沉淀，华菱咨询将利用深厚的行业知识，帮助客户把握新机遇，评估和管理风险，以实现负责任的增长。华菱咨询高绩效的跨学科团队可帮助客户满足监管要求，确保客户及时了解信息并满足利益相关者的需求。华菱咨询将为客户提供全面的端到端的服务，利用技术的进步真正推动业务的发展。

版权声明：

1.本公众号所发布内容，凡未注明“原创”等字样的均来源于网络善意转载，版权归原作者所有！

2.除本平台独家和原创，其他内容非本平台立场，不构成投资建议。

3.如千辛万苦未找到原作者或原始出处，请理解并联系我们。

4.文中部分图片源于网络。

5.本公众号发布此文出于传播消息之目的，如有侵权，联系删除。

华菱咨询深圳官网：http://www.hlemc-sz.com/

华菱咨询苏州官网：http://www.hlemc.com/

若还有其他问题，可直接在平台私信联系我们，我们会第一时间与您取得联系,感谢支持。