ISO27001认证
热线:
Q Q:ISO27001信息安全体系认证之风险评估
发布时间:2020-11-28 作者:广汇联合 来源:广汇联合
(1)确定信息安全风险评估的目标
在ISO27001信息安全风险评估准备阶段应明确风险评估的目标,为信息安全风险评估的过程提供导向。信息安全需求是一个组织为保证其业务正常、有效运转而必须达到的信息安全要求,通过分析组织必须符合的相关法律法规、组织在业务流程中对信息安全等的保密性、完整性、可用性等方面的需求,来确定信息安全险评估的目标。
(2)确定信息安全风险评估的范围
既定的ISO27001信息安全风险评估可能只针对组织全部资产的一个子集,评估范围必须明确。描述范围最重要的是对于评估边界的描述。评估的范围可能是单个系统或者是多个关联的系统比较好的方法是按照物理边界和逻辑边界来描述某次风险评估的范围。
(3)组建适当的评估管理与实施团队
在评估的准备阶段,评估组织应成立专门的评估团队,具体执行组织的信息安全风险评估。团队成员应包括评估单位领导、信息安全风险评估专家、技术专家,还应该包括管理层、业务部门、人力资源、IT系统和来自用户的代表。
(4)进行系统调研
系统调研是确定被评估对象的过程。风险评估团队应进行充分的系统调研,为信息安全风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括:业务战略及管理制度、主要的业务功能和要求;网络结构与网络环境,包括内部连接和外部连接、系统边界;主要的硬件、软件:数据和信息、统和数据的敏感性;支持和使用系统的人员。
(5)确定信息安全风险评估依据和方法
ISO27001信息安全风险评估依据包括现有国际或国家有关信息安全标准、组织的行业主管机关的业务系统的要求和制度、组织的信息系统互联单位的安全要求、组织的信息系统本身的实时性或性能要求等。根据信息安全评估风险依据,并综合考虑信息安全风险评估的目的、范围、时间、效果、评估人员素质等因素,选择具体的风险计算方法,并依据组织业务实施对系统安全运行的需求.确定相关的评估剡断依据,使之能够与组织坏境和安全要求相适应。
(6)制定信息安全风险评估方案
ISO27001信息安全风险评估方案的内容一般包括:团队组织:包括评估团队成员、组织结构、角色、责任等内容。工作计划、信息安全风险评估各阶段的工作计划,包括工作内容、工作形式、工作成果等内容、时间进度安排、项目实施的时间进度安排。
(7)获得最高管理者对信息安全风险评估工作的支持
ISO27001信息安全风险评估需要相关的财力和人力的支持,管理层必须以明示的方式表明对评估活动的支持,对资源调配做出承诺,并对信息安全风险评估小组赋予足够的权利,信息安全风险评估活动才能顺利进行。
在做好风险评估的准备工作之后,需要对企业当前的信息安全系统进行资产识别、威胁识别和脆弱性识别。
