您的當前位置: 首頁 >> ISO27001 信息安全管理體系
添加時間:2015-03-02 10:28:16
現狀調查與風險評估的主要工作任務:
□ 對組織信息安全管理現狀進行全面系統的調查,為風險評估提供充分的信息;
□ 識別信息資產;
□ 信息資產估價;
□ 威脅、薄弱點的識別與評價;
□ 現有安全控制的確認;
□ 安全風險測量及優先等級的確定。
風險評估時應考慮以下因素:
□ 信息資產及其價值;
□ 對這些資產的威脅,以及它們發生的可能性;
□ 薄弱點;
□ 已有的安全控制措施;
□ 在進行風險評估時,應考慮以下對應關系:
- 每一項資產可能面臨多個威脅;
- 威脅的來源可能不只一個,應從人員(包括內部與外部)、環境(如自然災害)、資產本身(如設備故障)等方面加以考慮;
- 每一威脅可能利用一個或數個薄弱點。
企業在選擇風險評估方法時,應考慮以下內容
組織可以選擇不同的風險評估方法,每一種方法都有其優點和不足,在平衡考慮選擇哪種評估方法時組織應該考慮:
□ 組織的業務背景;
□ 該業務的性質和重要程度;
□ 組織業務、業務支持系統、應用程序和服務的復雜程度;
□ 組織業務對該信息新系統的依賴程度;
□ 組織業務合作伙伴的多少、外部業務和合同關系;
□ 對這個信息系統投入成本的高低,即為了開發、維護或替換這個信息系統及其資產的成本,這也是一個機構為它直接賦予的價值。
這些因素存在于每一種業務中,在選擇評估方法是應該參照這些因素考慮各種方法的優點和不足。通常來說越重要、越關鍵、一旦發生災難帶來的損失越大的業務,組織應該為其安全投入更多的時間和資源。
現狀調查與風險評估的工作流程:
□ 準備工作階段:確定信息安全管理體系的范圍,成立風險評估小組,制定風險評估計劃,確定風險評估的方法與工具;
□ 現狀調查:對組織的業務運作流程、安全管理機構、資產情況、信息系統網絡拓撲結構、安全控制情況、法律法規適用與執行情況進行調查;
□ 列出與信息有關的資產清單,并對每一項資產估價;
□ 識別出資產所面臨的威脅及其發生的可能性與潛在影響評價;
□ 識別出被威脅所利用的薄弱點并對其被利用的難易程度進行評價;
□ 對現有的安全控制措施進行確認;
□ 進行風險大小測量并確定優先控制等級;
□ 風險評估結果的評審與批準;
□ 編制適用的法律法規清單并對其符合性進行評估;
□ 結果分析與評價,主要任務是對調查結果進行分析,找出信息安全管理方面的缺陷及組織存在的信息安全風險,明確信息安全要求,選擇適當的控制方式予以實施,將風險降低到可接受的水平。
電話:010-80888836 手機: 18211163602
版權所有:北京中鑫標科技有限公司 ICP備案號:京ICP備2021012723號