1. <option id="jo6t9"></option>
      <option id="jo6t9"><sup id="jo6t9"></sup></option>
      <track id="jo6t9"><source id="jo6t9"><ruby id="jo6t9"></ruby></source></track>
    2. <track id="jo6t9"><source id="jo6t9"><ruby id="jo6t9"></ruby></source></track>
            1. 思譽(yù)顧問(wèn)機構咨詢(xún)熱線(xiàn):0755-86610833/29468916
              思譽(yù)體系認證咨詢(xún)
              體系認證咨詢(xún)服務(wù)
              您當前所在位置:首頁(yè) >> 體系認證咨詢(xún)服務(wù) >>  > ISO27001認證 >> 詳細內容

              ISO27001認證信息安全風(fēng)險評估


                ISO27001認證信息安全風(fēng)險評估,是實(shí)施風(fēng)險評估的前提,為了保證評估過(guò)程的可控性以及評估結果的客觀(guān)性,在信息安全風(fēng)險評估實(shí)施前應進(jìn)行充分的準備和計劃信息安全風(fēng)險評估的準備活動(dòng)包括:

                (1)確定信息安全風(fēng)險評估的目標

                在ISO27001信息安全風(fēng)險評估準備階段應明確風(fēng)險評估的目標,為信息安全風(fēng)險評估的過(guò)程提供導向。信息安全需求是一個(gè)組織為保證其業(yè)務(wù)正常、有效運轉而必須達到的信息 安全要求,通過(guò)分析組織必須符合的相關(guān)法律法規、組織在業(yè)務(wù)流程中對信息安全等的保密性、完整性、可用性等方面的需求,來(lái)確定信息安全險評估的目標。

                (2)確定信息安全風(fēng)險評估的范圍

                既定的ISO27001信息安全風(fēng)險評估可能只針對組織全部資產(chǎn)的一個(gè)子集,評估范圍必須明確。描述范圍最重要的是對于評估邊界的描述。評估的范圍可能是單個(gè)系統或者是多個(gè)關(guān)聯(lián)的系統比較好的方法是按照物理邊界和邏輯邊界來(lái)描述某次風(fēng)險評估的范圍。

                (3)組建適當的評估管理與實(shí)施團隊

                在評估的準備階段,評估組織應成立專(zhuān)門(mén)的評估團隊,具體執行組織的信息安全風(fēng)險評估。團隊成員應包括評估單位領(lǐng)導、信息安全風(fēng)險評估專(zhuān)家、技術(shù)專(zhuān)家,還應該包括管理層、業(yè)務(wù)部門(mén)、人力資源、IT系統和來(lái)自用戶(hù)的代表。

               (4)進(jìn)行系統調研

                系統調研是確定被評估對象的過(guò)程。風(fēng)險評估團隊應進(jìn)行充分的系統調研,為信息安全風(fēng)險評估依據和方法的選擇、評估內容的實(shí)施奠定基礎。調研內容至少應包括:業(yè)務(wù)戰略及管理制度、主要的業(yè)務(wù)功能和要求;網(wǎng)絡(luò )結構與網(wǎng)絡(luò )環(huán)境,包括內部連接和外部連接、系統邊界;主要的硬件、軟件:數據和信息、統和數據的敏感性;支持和使用系統的人員。

                (5)確定信息安全風(fēng)險評估依據和方法

                ISO27001信息安全風(fēng)險評估依據包括現有國際或國家有關(guān)信息安全標準、組織的行業(yè)主管機關(guān)的業(yè)務(wù)系統的要求和制度、組織的信息系統互聯(lián)單位的安全要求、組織的信息系統 本身的實(shí)時(shí)性或性能要求等。根據信息安全評估風(fēng)險依據,并綜合考慮信息安全K險評估的目的、范圍、時(shí)間、效果、評估人員素質(zhì)等因素,選擇具體的風(fēng)險計算方 法,并依據組織業(yè)務(wù)實(shí)施對系統安全運行的需求.確定相關(guān)的評估剡斷依據,使之能夠與組織壞境和安全要求相適應。

               (6)制定信息安全風(fēng)險評估方案

                ISO27001信息安全風(fēng)險評估方案的內容一般包括:團隊組織:包括評估團隊成員、組織結構、角色、責任等內容。工作計劃、信息安全風(fēng)險評估各階段的工作計劃,包括工作內容、工作形式、工作成果等內容、時(shí)間進(jìn)度安排、項目實(shí)施的時(shí)間進(jìn)度安排。

                (7)獲得最高管理者對信息安全風(fēng)險評估工作的支持

                ISO27001信息安全風(fēng)險評估需要相關(guān)的財力和人力的支持,管理層必須以明示的方式表明對評估活動(dòng)的支持,對資源調配做出承諾,并對信息安全風(fēng)險評估小組賦予足夠的權利,信息安全風(fēng)險評估活動(dòng)才能順利進(jìn)行。

                在做好風(fēng)險評估的準備工作之后,需要對企業(yè)的當前的信息安全系統進(jìn)行資產(chǎn)識別、威脅識別和脆弱性識別。

                此外,在對企業(yè)進(jìn)行信息安全風(fēng)險評估之前,如果要保障企業(yè)信息安全風(fēng)險評估過(guò)程順利實(shí)現并且風(fēng)險評估結果真實(shí)有效,最重要的一點(diǎn)是要首先針對企業(yè)的信息安全 管理工作制定一個(gè)風(fēng)險評估策略。好的風(fēng)險評估策略是風(fēng)險評估模型是否設計成功的關(guān)鍵,同時(shí),一個(gè)好的風(fēng)險評估策略需要包括企業(yè)信息安全風(fēng)險產(chǎn)生的起因以及 進(jìn)行風(fēng)險評估操作的范圍和目的。

                由于企業(yè)的信息安全風(fēng)險的產(chǎn)生因素包括外部風(fēng)險因素和內部風(fēng)險因素,這些風(fēng)險因素都是企業(yè)日常工作中時(shí)刻面臨的。風(fēng)險因素是企業(yè)信息安全風(fēng)險事故發(fā)生的潛存原因,風(fēng)險因素主要是引起企業(yè)信息安全風(fēng)險事故發(fā)生 的大小以及頻率的因素,是企業(yè)信息安全風(fēng)險出現威脅和損失的內在和間接的原因。因此,要定時(shí)定量的對這些風(fēng)險進(jìn)行評估來(lái)測定其風(fēng)險程度。

              思譽(yù)微信公眾號

              本文作者:深圳市思譽(yù)企業(yè)管理咨詢(xún)有限公司

              版權所有 轉載時(shí)必須以連接形式注明作者和原始出處

              分享到: 更多
              亚洲欧洲韩国久久久精品_2021国产精品性爱_日韩欧洲无码精品直播久久_中文字幕亚洲一区二区va在线

              1. <option id="jo6t9"></option>
                <option id="jo6t9"><sup id="jo6t9"></sup></option>
                <track id="jo6t9"><source id="jo6t9"><ruby id="jo6t9"></ruby></source></track>
              2. <track id="jo6t9"><source id="jo6t9"><ruby id="jo6t9"></ruby></source></track>