ISO27001认证的信息安全风险评估是实施风险评估的前提条件。为了保证评定过程中的可操控性和评价结果的客观性,在执行信
息安全风险评估以前,应做充足的准备和计划。
信息安全风险评估的准备活动包含:
(1)确定信息安全风险评估目标
在ISO27001信息安全风险评估的准备阶段,应明确风险评估目标,为信息安全风险评价全过程提供支持。网络信息安全基本要求
机构为保证业务正常的合理运行而必须符合的网络信息安全要求。通过分析机构必须遵守的有关法律法规,及其工作流程中网络
信息安全的安全性、完整性可使用性要求,确认了网络信息安全保险评估目标。
(2)确定信息安全风险评估的范畴
已建立的ISO27001信息安全风险评估可能只针对所有机构资产的一个子集,并且鉴定的范畴一定要明确。叙述范畴的一个重要层
面是对评定界限的描写。鉴定的范畴可以是单个系统软件或几个相关的系统软件。更强的办法是根据物理学逻辑界限来描述风险
评估的范畴。
(3)建立适度的评估管理与实施团队
在评定准备阶段,评定机构应成立专门评估工作组,对机构信息安全风险进行评价。团队人员一般包括评定单位领导、信息安全
风险评估专家、技术专家,及其管理层、各个部门、人力资源管理、业务系统与用户意味着。
(4)开展系统研究
系统研究是确定被评估对象的过程。风险评估团队应进行充分的系统研究,为信息安全风险评估标准和方法的选择及其评定内容
的实行打下基础。研究方向至少一般包括:业务战略和管理体系、关键业务模块与需求;网络架构和网络空间,包含内部和外部连
接、系统边界;关键硬件与软件:信息数据、系统软件和信息敏感度;大力支持和使用这个系统软件工作的人员。
(5)确定信息安全风险评估的依据与方法
ISO27001信息安全风险评估的依据包含已有的国际或国家国家标准体系、机构行业管理机构业务系统软件要求和系统软件、机构
信息管理系统互连单位的安全规定,及其机构信息管理系统本身的实用性或技术性能。基于网络信息安全鉴定的的风险性基础,
并考虑评定人员的目的、范畴、时间、有效性和质量等因素,选择了具体的风险性计算方式。根据机构业务完成对系统优化运行
的需要,确认了适应组织氛围和安全规定的有关评判标准。
(6)制订信息安全风险评估计划
ISO27001信息安全风险评估计划内容一般包括:团队组织:包括对团队人员、组织结构、角色、职责等内容评定。工作规划、各
个阶段信息安全风险评估工作规划,包含工作内容、工作方式、工作成效、时刻表和项目执行时刻表。
(7)得到领导层对信息安全风险评估工作的适用
ISO27001信息安全风险评估需要相关财务和人力资源管理适用。管理层务必清楚地说明他们对于评估活动的支持,对资源分配做
出承诺,并赋予信息安全风险评估工作组足够的权力,以使信息安全风险评价活动顺利开展。
在开始开展风险评估后,必须识别企业现阶段信息安全体系的资产、威胁和系统漏洞。
此外,在对企业进行信息安全风险评估以前,如果想保障企业信息安全风险评价过程中的顺利推进及其风险评估结果的真实性和
有效性,最主要的是最先制订企业信息安全管理工作的风险评估策略。一个好的风险评估策略是成功设计风险评估模型的关键所
在。同时,一个好的风险评估策略需要包括信息安全风险的主要原因及其风险评估操作的范畴和意义。
由于企业中产生信息安全风险的因素,包含外部和内部风险因素,这些潜在风险在公司的日常工作中持续面临。潜在风险是导致
企业信息安全风险损失的主要原因。潜在风险关键主要是指信息安全风险事故的经营规模工作频率,是导致企业信息安全威胁的
损失的内在和主观因素。因而,必须定期检查潜在的风险开展定量评估,来确认其的风险性程度。
