<button id="0smto"><acronym id="0smto"></acronym></button>
  1. <em id="0smto"><acronym id="0smto"></acronym></em>

      在線客服中心

      楊老師:點擊這里給我發消息

      楊老師: 點擊這里給我發消息

      快速通道

      Fast track
      在線申請體系認證咨詢 在線留言

      全國免費電話:4001818375

      座機:010-80888836

      手 機:18211163602

      微 信:18211163602

      網 址:www.gwad.cn

      投訴郵箱:281997947@qq.com

      地址:北京市通州區富力運河十號A5-2-6層

      新聞中心

      您的當前位置: 首頁 >> ISO27001 信息安全管理體系

      風險評估的主要工作內容

      添加時間:2015-03-02 10:28:16

      風險評估的主要工作內容

      現狀調查與風險評估的主要工作任務:
      □ 對組織信息安全管理現狀進行全面系統的調查,為風險評估提供充分的信息;
      □ 識別信息資產;
      □ 信息資產估價;
      □ 威脅、薄弱點的識別與評價;
      □ 現有安全控制的確認;
      □ 安全風險測量及優先等級的確定。
      風險評估時應考慮以下因素:
      □ 信息資產及其價值;
      □  對這些資產的威脅,以及它們發生的可能性;
      □ 薄弱點;
      □ 已有的安全控制措施;
      □  在進行風險評估時,應考慮以下對應關系:
      -  每一項資產可能面臨多個威脅;
      -  威脅的來源可能不只一個,應從人員(包括內部與外部)、環境(如自然災害)、資產本身(如設備故障)等方面加以考慮;
      - 每一威脅可能利用一個或數個薄弱點。
      企業在選擇風險評估方法時,應考慮以下內容
      組織可以選擇不同的風險評估方法,每一種方法都有其優點和不足,在平衡考慮選擇哪種評估方法時組織應該考慮:
      □ 組織的業務背景;
      □ 該業務的性質和重要程度;
      □  組織業務、業務支持系統、應用程序和服務的復雜程度;
      □ 組織業務對該信息新系統的依賴程度;
      □  組織業務合作伙伴的多少、外部業務和合同關系;
      □  對這個信息系統投入成本的高低,即為了開發、維護或替換這個信息系統及其資產的成本,這也是一個機構為它直接賦予的價值。
          這些因素存在于每一種業務中,在選擇評估方法是應該參照這些因素考慮各種方法的優點和不足。通常來說越重要、越關鍵、一旦發生災難帶來的損失越大的業務,組織應該為其安全投入更多的時間和資源。
      現狀調查與風險評估的工作流程:
      □ 準備工作階段:確定信息安全管理體系的范圍,成立風險評估小組,制定風險評估計劃,確定風險評估的方法與工具;
      □ 現狀調查:對組織的業務運作流程、安全管理機構、資產情況、信息系統網絡拓撲結構、安全控制情況、法律法規適用與執行情況進行調查;
      □ 列出與信息有關的資產清單,并對每一項資產估價;
      □ 識別出資產所面臨的威脅及其發生的可能性與潛在影響評價;
      □ 識別出被威脅所利用的薄弱點并對其被利用的難易程度進行評價;
      □ 對現有的安全控制措施進行確認;
      □ 進行風險大小測量并確定優先控制等級;
      □ 風險評估結果的評審與批準;
      □ 編制適用的法律法規清單并對其符合性進行評估;
      □ 結果分析與評價,主要任務是對調查結果進行分析,找出信息安全管理方面的缺陷及組織存在的信息安全風險,明確信息安全要求,選擇適當的控制方式予以實施,將風險降低到可接受的水平。

      電話:4001818375  手機: 18211163602
      版權所有:北京中鑫標科技有限公司   ICP備案號:京ICP備2021012723號