珠海ISO27001认证风险评估
发布日期:[2022-10-15 21:03] 点击率:
初步确定范围和重要资产,有重点地开展信息安全风险评估,根据资产赋值,形成《重要资产清单》。ISO27001标准根据信
息资产的属性即保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)以及适用性(Law),采用信息安全风险管
理软件,分析和评价风险,评价的内容包括:
信息安全
(1) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;赋值应该有一个统一认识,形成一个
合理的参考范围;
(2) 针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失效发生的可能性,并进行赋值;
(3) 根据《信息安全风险评估规范》计算信息安全风险等级;
(4) 根据《信息安全风险评估规范》及风险接受准则,判断风险为可接受或需要处理。根据信息安全方针、业务发展要求及风险
评估的结果,组织有关部门选择/制定了信息安全目标,根据风险评估的结果,形成《风险处理计划》,该计划明确了风险处理
责任部门、负责人、处理方法及起始、完成时间。
安全与隐私
建立有效信息安全管理体系
信息安全管理体系的建立,需要在信息安全风险评估的基础上,根据企业的发展战略和实际情况,设计一个好的框架,基本明确
体系需要由哪些文件(程序)组成,体系必须符合IS0/27001标准。一个企业,存在大量的管理制度、规范及标准,它们对提高企业
的科学管理都具有现实的意义,在建立信息安全管理体系时,有必要先对原有的企业制度、标准进行归纳和整理,合理继承以前
的成果,推陈出新,实现企业管理的提升。
首先,体系文件必须齐全,应包括方针和目标、范围、程序、风险评估方法、评估报告、风险处理计划、过程控制文件、过程记
录、适用性声明等九大方面;
其次,体系过程必须完整,信息安全管理体系的建立,需要有严格的控制和完整的记录。体系文件的建立不能凭空想象,体系文
件的修改、更新、增删必须有严格的控制和完整的记录,所有涉及体系文件的修改,必须得到管理者的许可,确保文件保持清晰
、易于识别,确保整个管理体系是充分的;
最后,体系文件必须有效,要根据企业的实际情况建立,它既不是高不可及,也不是企业现状的一种简单描述,它必须与企业的
发展战略相适应,能够正确指导企业信息安全管理。
体系文件建立后,应在企业广泛宣传,让信息安全管理体系深入企业管理工作中,指导企业开展信息安全管理,并根据工作实际
的变化,不断修改、完善信息安全体系,确保信息安全管理体系与信息安全方针、控制目标一致。同时,企业应根据管理体系,
对企业的信息安全风险进行处理,不断整改存在的缺陷和不足,进一步降低企业信息安全风险,提高企业信息安全应急处置能力
,提高企业信息安全管理水平,确保信息应用系统安全、可靠、稳定运行。