15323800465
ISO27001認證信息安全風險評估,是實施風險評估的前提,為了保證評估過程的可控性以及評估結(jié)果的客觀性,在信息安全風險評估實施前應進行充分的準備和計劃信息安全風險評估的準備活動包括:
(1)確定信息安全風險評估的目標
在ISO27001信息安全風險評估準備階段應明確風險評估的目標,為信息安全風險評估的過程提供導向。信息安全需求是一個組織為保證其業(yè)務正常、有效運轉(zhuǎn)而必須達到的信息安全要求,通過分析組織必須符合的相關(guān)法律法規(guī)、組織在業(yè)務流程中對信息安全等的保密性、完整性、可用性等方面的需求,來確定信息安全險評估的目標。
(2)確定信息安全風險評估的范圍
既定的ISO27001信息安全風險評估可能只針對組織全部資產(chǎn)的一個子集,評估范圍必須明確。描述范圍最重要的是對于評估邊界的描述。評估的范圍可能是單個系統(tǒng)或者是多個關(guān)聯(lián)的系統(tǒng)比較好的方法是按照物理邊界和邏輯邊界來描述某次風險評估的范圍。
(3)組建適當?shù)脑u估管理與實施團隊
在評估的準備階段,評估組織應成立專門的評估團隊,具體執(zhí)行組織的信息安全風險評估。團隊成員應包括評估單位領(lǐng)導、信息安全風險評估專家、技術(shù)專家,還應該包括管理層、業(yè)務部門、人力資源、IT系統(tǒng)和來自用戶的代表。
(4)進行系統(tǒng)調(diào)研
系統(tǒng)調(diào)研是確定被評估對象的過程。風險評估團隊應進行充分的系統(tǒng)調(diào)研,為信息安全風險評估依據(jù)和方法的選擇、評估內(nèi)容的實施奠定基礎(chǔ)。調(diào)研內(nèi)容至少應包括:業(yè)務戰(zhàn)略及管理制度、主要的業(yè)務功能和要求;網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境,包括內(nèi)部連接和外部連接、系統(tǒng)邊界;主要的硬件、軟件:數(shù)據(jù)和信息、統(tǒng)和數(shù)據(jù)的敏感性;支持和使用系統(tǒng)的人員。
(5)確定信息安全風險評估依據(jù)和方法
ISO27001信息安全風險評估依據(jù)包括現(xiàn)有國際或國家有關(guān)信息安全標準、組織的行業(yè)主管機關(guān)的業(yè)務系統(tǒng)的要求和制度、組織的信息系統(tǒng)互聯(lián)單位的安全要求、組織的信息系統(tǒng)本身的實時性或性能要求等。根據(jù)信息安全評估風險依據(jù),并綜合考慮信息安全風險評估的目的、范圍、時間、效果、評估人員素質(zhì)等因素,選擇具體的風險計算方法,并依據(jù)組織業(yè)務實施對系統(tǒng)安全運行的需求.確定相關(guān)的評估剡斷依據(jù),使之能夠與組織壞境和安全要求相適應。
(6)制定信息安全風險評估方案
ISO27001信息安全風險評估方案的內(nèi)容一般包括:團隊組織:包括評估團隊成員、組織結(jié)構(gòu)、角色、責任等內(nèi)容。工作計劃、信息安全風險評估各階段的工作計劃,包括工作內(nèi)容、工作形式、工作成果等內(nèi)容、時間進度安排、項目實施的時間進度安排。
(7)獲得最高管理者對信息安全風險評估工作的支持
ISO27001信息安全風險評估需要相關(guān)的財力和人力的支持,管理層必須以明示的方式表明對評估活動的支持,對資源調(diào)配做出承諾,并對信息安全風險評估小組賦予足夠的權(quán)利,信息安全風險評估活動才能順利進行。
在做好風險評估的準備工作之后,需要對企業(yè)當前的信息安全系統(tǒng)進行資產(chǎn)識別、威脅識別和脆弱性識別。
如您想更詳細的了解ISO27001標準,需要ISO27001標準,請您網(wǎng)絡(luò)搜索航鑫認證,快人一步,成就管理者風范。
