ISO27001认证信息安全风险评估是实施风险评估的前提。为保证评估过程的可控性和评估结果的客观性,信息安全风险评估实施前应充分准备和计划信息安全风险评估的准备活动包括:
(1)确定信息安全风险评估的目标
在ISO在27001年信息安全风险评估的准备阶段,应明确风险评估的目标,为信息安全风险评估的过程提供指导。信息安全需求是一个组织必须满足的信息安全要求,以确保其业务的正常和有效运行,并通过分析组织必须满足的相关法律法规,确定信息安全评估的目标。
(2)确定信息安全风险评估范围
既定的ISO27001年信息安全风险评估可能只针对组织所有资产的一个子集,评估范围必须明确。*重要的描述范围是评估边界的描述。评估范围可能是一个系统或多个相关系统的更好方法是根据物理边界和逻辑边界来描述风险评估的范围。
(3)组建适当的评价管理和实施团队
在评估准备阶段,评估组织应成立专门的评估团队,对组织的信息安全风险进行评估。团队成员应包括评估单位领导、信息安全风险评估专家、技术专家、管理、业务部门、人力资源、IT系统和用户代表。
(4)系统研究
系统研究是确定被评估对象的过程。风险评估团队应进行全面的系统研究,为信息安全风险评估的基础和方法的选择和评估内容的实施奠定基础。研究内容至少包括:业务战略和管理体系、主要业务功能和要求、网络结构和网络环境、内外连接、系统边界、主要硬件、软件:数据和信息、统一和数据敏感性、支持和使用系统的人员。
(5)确定信息安全风险评估的依据和方法
ISO27001信息安全风险评估依据包括现行国际或国家相关信息安全标准、组织行业主管部门的业务系统要求和制度、组织信息系统互联单位的安全要求、组织信息系统本身的实时性能要求等。根据信息安全评估的风险依据,综合考虑信息安全K风险评估的目的、范围、时间、效果、评估人员质量等因素,选择具体的风险计算方法,根据组织业务对系统安全运行的需求.确定相关评价的基础,使其能够适应组织环境和安全要求。
(6)制定信息安全风险评估方案
ISO27001年信息安全风险评估计划的内容一般包括:团队组织:包括团队成员、组织结构、角色、责任等。工作计划、信息安全风险评估工作计划的各个阶段,包括工作内容、工作形式、工作结果、时间表、项目实施时间表。
(7)获得*高管理者对信息安全风险评估的支持
ISO27001年信息安全风险评估需要相关财政和人力资源的支持。管理层必须明确表示对评估活动的支持,承诺资源分配,并赋予信息安全风险评估小组足够的权利,才能顺利开展信息安全风险评估活动。
做好风险评估准备后,需要对企业目前的信息安全系统进行资产识别、威胁识别和脆弱性识别。
在评估企业信息安全风险之前,如果要保证企业信息安全风险评估过程的顺利实现和风险评估结果的真实有效性,*重要的是为企业的信息安全管理制定风险评估策略。良好的风险评估策略是风险评估模型设计成功的关键。良好的风险评估策略需要包括企业信息安全风险的原因、风险评估操作的范围和目的。
由于企业的信息安全风险因素包括外部风险因素和内部风险因素,这些风险因素在企业的日常工作中总是面临的。风险因素是企业信息安全风险事故的潜在原因,主要是企业信息安全风险事故的规模和频率,是企业信息安全风险威胁和损失的内部和间接原因。有必要定期和定量地评估这些风险,以确定其风险程度。
