ISO27001認(rèn)證信息安全風(fēng)險(xiǎn)評(píng)估,是實(shí)施風(fēng)險(xiǎn)評(píng)估的前提,為了保證評(píng)估過程的可控性以及評(píng)估結(jié)果的客觀性,在信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施前應(yīng)進(jìn)行充分的準(zhǔn)備。
(1)確定評(píng)估目標(biāo)
明確風(fēng)險(xiǎn)評(píng)估的目標(biāo),為信息安全風(fēng)險(xiǎn)評(píng)估的過程提供導(dǎo)向。信息安全需求是一個(gè)組織為保證其業(yè)務(wù)正常、有效運(yùn)轉(zhuǎn)而必須達(dá)到的信息安全要求,通過分析組織必須符合的相關(guān)法律法規(guī)、組織在業(yè)務(wù)流程中對(duì)信息安全等的保密性、完整性、可用性等方面的需求,來確定信息安全險(xiǎn)評(píng)估的目標(biāo)。-質(zhì)量管理體系
(2)確定評(píng)估范圍
既定的ISO27001信息安全風(fēng)險(xiǎn)評(píng)估可能只針對(duì)組織全部資產(chǎn)的一個(gè)子集,評(píng)估范圍必須明確。描述范圍最重要的是對(duì)于評(píng)估邊界的描述。評(píng)估的范圍可能是單個(gè)系統(tǒng)或者是多個(gè)關(guān)聯(lián)的系統(tǒng)比較好的方法是按照物理邊界和邏輯邊界來描述某次風(fēng)險(xiǎn)評(píng)估的范圍。-質(zhì)量管理體系
(3)組建評(píng)估團(tuán)隊(duì)
成立專門的評(píng)估團(tuán)隊(duì)負(fù)責(zé)具體執(zhí)行組織的信息安全風(fēng)險(xiǎn)評(píng)估。團(tuán)隊(duì)成員應(yīng)包括評(píng)估單位領(lǐng)導(dǎo)、評(píng)估專家、技術(shù)專家,還應(yīng)該包括管理層、業(yè)務(wù)部門、人力資源、IT系統(tǒng)和來自用戶的代表。
(4)進(jìn)行系統(tǒng)調(diào)研
系統(tǒng)調(diào)研是確定被評(píng)估對(duì)象的過程。進(jìn)行充分的系統(tǒng)調(diào)研是為信息安全風(fēng)險(xiǎn)評(píng)估依據(jù)和方法的選擇、評(píng)估內(nèi)容的實(shí)施奠定基礎(chǔ)。調(diào)研內(nèi)容至少應(yīng)包括業(yè)務(wù)戰(zhàn)略及管理制度、主要的業(yè)務(wù)功能和要求;網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境,包括內(nèi)部連接和外部連接、系統(tǒng)邊界;主要的硬件、軟件:數(shù)據(jù)和信息、統(tǒng)和數(shù)據(jù)的敏感性;支持和使用系統(tǒng)的人員。-質(zhì)量管理體系
(5)確定評(píng)估依據(jù)和方法
評(píng)估依據(jù)包括現(xiàn)有國(guó)際或國(guó)家有關(guān)信息安全標(biāo)準(zhǔn)、組織的行業(yè)主管機(jī)關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度、組織的信息系統(tǒng)互聯(lián)單位的安全要求、組織的信息系統(tǒng)本身的實(shí)時(shí)性或性能要求等。根據(jù)信息安全評(píng)估風(fēng)險(xiǎn)依據(jù),綜合考慮信息安全評(píng)估的目的、范圍、時(shí)間、效果、評(píng)估人員素質(zhì)等因素,選擇具體的風(fēng)險(xiǎn)計(jì)算方法,并依據(jù)組織業(yè)務(wù)實(shí)施對(duì)系統(tǒng)安全運(yùn)行的需求,確定相關(guān)的評(píng)估剡斷依據(jù),使之能夠與組織壞境和安全要求相適應(yīng)。
(6)制定評(píng)估方案
評(píng)估方案的內(nèi)容一般包括團(tuán)隊(duì)組織(評(píng)估團(tuán)隊(duì)成員、組織結(jié)構(gòu)、角色、責(zé)任等)、工作計(jì)劃(各階段的工作內(nèi)容、工作形式、工作成果等)、以及項(xiàng)目實(shí)施的時(shí)間進(jìn)度安排等。
(7)獲得高管理者的支持-質(zhì)量管理體系
因?yàn)樵u(píng)估需要財(cái)力和人力的支持,管理層必須表明對(duì)評(píng)估活動(dòng)的支持,對(duì)資源調(diào)配做出承諾,并對(duì)信息安全風(fēng)險(xiǎn)評(píng)估小組賦予足夠的權(quán)利,信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)才能順利進(jìn)行。
在做好風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備工作之后,還需要對(duì)企業(yè)的當(dāng)前的信息安全系統(tǒng)進(jìn)行資產(chǎn)識(shí)別、威脅識(shí)別和脆弱性識(shí)別。值得一提的是,企業(yè)如果要保障評(píng)估過程順利實(shí)現(xiàn)并且風(fēng)險(xiǎn)評(píng)估結(jié)果真實(shí)有效,最重要的一點(diǎn)是要首先針對(duì)企業(yè)的信息安全管理工作制定一個(gè)風(fēng)險(xiǎn)評(píng)估策略。好的風(fēng)險(xiǎn)評(píng)估策略是風(fēng)險(xiǎn)評(píng)估模型是否設(shè)計(jì)成功的關(guān)鍵,同時(shí),一個(gè)好的風(fēng)險(xiǎn)評(píng)估策略需要包括企業(yè)信息安全風(fēng)險(xiǎn)產(chǎn)生的起因以及進(jìn)行風(fēng)險(xiǎn)評(píng)估操作的范圍和目的。
文章題目:ISO27001認(rèn)證信息安全風(fēng)險(xiǎn)評(píng)估的七大要素
本文地址:http://www.rwnh.cn/hangye/iso/n14062.html
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)