ISO27001認證如何進行信息安全風(fēng)險分析與評估
IS027001認證風(fēng)險評估應(yīng)包括兩部分:
一、風(fēng)險分析
ISO27001風(fēng)險分析的方法有很多種,包括定性的方法和定量的方法。其最終落腳點大多數(shù)會歸結(jié)到“可能性
”與“影響程度”上面,并根據(jù)“可能性”和“影響”的組合確定風(fēng)險程度。
而對于“可能性”與“影響”的評分,可以根據(jù)歷史經(jīng)驗定性地給出,也可以通過進一步細化或者量化的方
法更為精確地給出,最常用的方法之一是通過資產(chǎn)、威脅和脆弱性三個屬性進行分析。
1、資產(chǎn)屬性:即資產(chǎn)價值,指對信息資產(chǎn)的綜合評分,來源于企業(yè)的信息資產(chǎn)管理矩陣,可以通過對信息
資產(chǎn)的機密性、完整性、可用性三方面分別進行定量評級后計算得出。
2、威脅屬性:指的是固有存在的威脅,需要考慮威脅產(chǎn)生的頻率和動機等方面。威脅是與資產(chǎn)相對應(yīng)的,
不同類別的信息資產(chǎn)可能面臨不同類別的威脅,某一資產(chǎn)可能同時面臨多個不同的威脅。相對的,一個威脅
可能對不同的資產(chǎn)產(chǎn)生影響。威脅可能來源于意外的或者有預(yù)謀的事件。不同的威脅有著不同的動機和能力
,因此,可以對威脅進行分析,對其出現(xiàn)的頻率量化和賦值。
3、脆弱性屬性:指資產(chǎn)薄弱點的嚴重程度,也以理解為資產(chǎn)被威脅所利用的可能性。薄弱點可能來自軟件
、硬件、也可能來源于人員、環(huán)境及管理等方面。某個威脅可能利用多個薄弱點, 一個薄弱點也可能被多
個威脅利用, 弱點一旦被威脅利用就可能產(chǎn)生風(fēng)險, 從而影響到組織的運行或可持續(xù)性發(fā)展。通常從管理
和技術(shù)兩個方面,通過人員訪談、現(xiàn)場觀察、文檔流程檢查等方法針對不同的資產(chǎn)進行脆弱性的嚴重程度量
化和賦值。
4、通過對資產(chǎn)、威脅和脆弱性的評級,匯總成為“可能性”與“影響”的評分,再進而得到風(fēng)險值的量化
評分。
二、風(fēng)險評價
通過上述ISO27001風(fēng)險分析的過程,我們可以得到企業(yè)的風(fēng)險列表,即源于不同資產(chǎn),不同威脅以及現(xiàn)有的
控制水平基礎(chǔ)上的所有風(fēng)險。ISO27001風(fēng)險的高低可依照得分的高低排序,其中得分為8的為最高風(fēng)險點,
為0的為最低風(fēng)險點。
基于此表,風(fēng)險評估要設(shè)定一個可接受的風(fēng)險值,通常來講,此閾值的設(shè)定需要經(jīng)過信息安全管理委員會或
公司管理層的批準。低于或等于這個分值的,意味著風(fēng)險可以接受,也就是可以維持現(xiàn)有的保護措施不變。
而高于此分值的風(fēng)險,意味著風(fēng)險過高,企業(yè)需要采取某些控制措施去降低、回避或轉(zhuǎn)移風(fēng)險。同時,對采
取控制措施后的脆弱性進行進一步分析,以確保如果新的控制措施得以有效執(zhí)行,風(fēng)險可以降低到可接受的
范圍之內(nèi)。
最后通過舉例來進行說明,假設(shè)某公司部分信息資產(chǎn)相當重要(資產(chǎn)價值評分為4),而因為病毒導(dǎo)致公司信
息遭到泄露的威脅也很高(評分為高),再假設(shè)此公司未安裝任何防病毒軟件或防火墻,那么在防病毒方面的
脆弱性評級同樣很高(評級為高),從而查表可以得到結(jié)論,此公司的信息資產(chǎn)因為不存在對病毒的防范控制
,從而存在很高的風(fēng)險(評級為8),那么一定要對此風(fēng)險進行一定的改進措施,比如安裝殺毒軟件,購買防
火墻等。再例如,同樣的信息資產(chǎn)和威脅前提,但公司裝有殺毒軟件和防火墻,只是防火墻的級別不夠高,
殺毒軟件沒有及時升級,綜合評價其脆弱性水平為中,查表可得由此而得的風(fēng)險水平較高(評級為7)。對于
此種風(fēng)險就要進行風(fēng)險評價,按照公司的實際情況確定是否需要進行升級等措施使風(fēng)險進一步降低。
中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢,檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu),儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商,法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息,中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
