ISO27001信息安全風(fēng)險(xiǎn)的管理是關(guān)于實(shí)現(xiàn)和維護(hù)信息系統(tǒng)機(jī)密性、完整性和可用性的與安全相關(guān)的所有方面，理想的安全風(fēng)險(xiǎn)標(biāo)準(zhǔn)應(yīng)該是一個(gè)集成的、一致的、可分析的、切合實(shí)際的、成本效益平衡的方法。從信息安全風(fēng)險(xiǎn)管理分類的介紹可以看出，信息安全風(fēng)險(xiǎn)除安全技術(shù)風(fēng)險(xiǎn)外，還涉及安全政策、標(biāo)準(zhǔn)、意識(shí)、戰(zhàn)略等方面。比如ISO27001和 NISTSP800-26安全自評(píng)估指南（Security Self Assessment Guide），則注重安全管理方面多于安全產(chǎn)品和系統(tǒng)，是可以經(jīng)過調(diào)整適合組織需要，進(jìn)行自我評(píng)估的良好標(biāo)準(zhǔn)，已在各種類型組織、公共和私人部門，以及工商業(yè)得到廣泛的應(yīng)用。但由于上述標(biāo)準(zhǔn)涉及的安全方面都缺乏定量的安全測(cè)度方法，因此不同評(píng)估人員，則會(huì)由于主觀的原因，給出不同的風(fēng)險(xiǎn)等級(jí)，使結(jié)果缺乏可信度，不能直接拿來使用。

ISO27001信息安全風(fēng)險(xiǎn)分類不僅要考慮風(fēng)險(xiǎn)發(fā)生的可能性和由此而引起的可能后果，而且要在單一風(fēng)險(xiǎn)基礎(chǔ)上，同時(shí)考慮各項(xiàng)風(fēng)險(xiǎn)之間的相互關(guān)系，對(duì)綜合安全風(fēng)險(xiǎn)進(jìn)行分析和評(píng)估。論文從信息安全科學(xué)的角度，在對(duì)上述安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)的比較基礎(chǔ)上，綜合環(huán)境、人員、管理、技術(shù)、法律、經(jīng)濟(jì)等系統(tǒng)風(fēng)險(xiǎn)問題，把信息安全風(fēng)險(xiǎn)分為：人員風(fēng)險(xiǎn)、組織風(fēng)險(xiǎn)、物理環(huán)境風(fēng)險(xiǎn)、信息機(jī)密性/完整性風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)、通信操作風(fēng)險(xiǎn)、基礎(chǔ)設(shè)施風(fēng)險(xiǎn)、業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)、第三方風(fēng)險(xiǎn)、風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)和風(fēng)險(xiǎn)決策風(fēng)險(xiǎn)共十二個(gè)方面。

1）人員風(fēng)險(xiǎn)

由于組織缺乏人員安全管理、明確的職責(zé)和意識(shí)教育，內(nèi)部無(wú)意或惡意人員的失誤或攻擊，以及來自外部惡意或好奇人員或組織的攻擊，會(huì)使組織業(yè)務(wù)面臨大的風(fēng)險(xiǎn)。

2）組織風(fēng)險(xiǎn)

如果組織在信息安全組織管理方面基礎(chǔ)薄弱、職責(zé)不清、技術(shù)服務(wù)能力差等原因，使組織在信息安全管理方面處于失控狀態(tài)，加大了信息安全風(fēng)險(xiǎn)。

3）物理環(huán)境風(fēng)險(xiǎn)

由于缺乏對(duì)組織場(chǎng)所的安全保衛(wèi)，或是防水、防火、防雷等保護(hù)措施，在面臨偷盜、自然災(zāi)難時(shí)，有時(shí)會(huì)造成極大的損失。

4）信息機(jī)密性/完整性風(fēng)險(xiǎn)

信息是組織信息技術(shù)系統(tǒng)裝載的業(yè)務(wù)數(shù)據(jù)，是一種非常重要價(jià)值的資產(chǎn)，甚至一些觀點(diǎn)認(rèn)為信息是組織的血液，是“一種在資產(chǎn)負(fù)債表之外，經(jīng)過逐漸積累的，可以被用來提升組織競(jìng)爭(zhēng)優(yōu)勢(shì)的信息”。同實(shí)物資產(chǎn)相比，信息非常分散并且易于復(fù)制，是組織業(yè)務(wù)流程的重要輸入和輸出數(shù)據(jù)，比如客戶資料、產(chǎn)品設(shè)計(jì)等，如果得不到正確的識(shí)別、評(píng)估、保存和管理，就面臨可能被竊取、損毀、丟失的風(fēng)險(xiǎn)，不但使依賴于這些關(guān)鍵信息的核心業(yè)務(wù)造成嚴(yán)重?fù)p壞，還會(huì)對(duì)組織的信譽(yù)、聲望造成巨大損失，甚至?xí)輾д麄€(gè)組織。

信息風(fēng)險(xiǎn)管理，主要是保證信息的機(jī)密性、完整性和可用性。

5）系統(tǒng)風(fēng)險(xiǎn)

通常所用的計(jì)算機(jī)操作系統(tǒng)，以及大量應(yīng)用軟件在組織業(yè)務(wù)交流中的使用，尤其是定制應(yīng)用產(chǎn)品，來自這些系統(tǒng)和應(yīng)用軟件的問題和缺陷會(huì)對(duì)一系列系統(tǒng)造成影響，尤其是多個(gè)應(yīng)用系統(tǒng)互聯(lián)時(shí)，影響會(huì)涉及整個(gè)組織的多個(gè)系統(tǒng)。比如有的系統(tǒng)維護(hù)困難、結(jié)構(gòu)不完善、缺乏文檔、設(shè)計(jì)漏洞等多種問題，有時(shí)會(huì)在系統(tǒng)升級(jí)和安裝補(bǔ)丁時(shí)引入較高的風(fēng)險(xiǎn)。

系統(tǒng)風(fēng)險(xiǎn)要求機(jī)構(gòu)對(duì)系統(tǒng)應(yīng)用具備協(xié)同、維護(hù)、測(cè)試、版本管理、配置管理、系統(tǒng)管理、監(jiān)控等方面具備管理能力。

6）通信操作風(fēng)險(xiǎn)

如果在通訊加密、應(yīng)用分區(qū)、防病毒、IDS 等安全措施出現(xiàn)技術(shù)或管理問題時(shí)，被攻擊者利用后，會(huì)引發(fā)信息安全風(fēng)險(xiǎn)。

7）基礎(chǔ)設(shè)施風(fēng)險(xiǎn)

基礎(chǔ)設(shè)施包括支撐業(yè)務(wù)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)（局域網(wǎng)、廣域網(wǎng)、互聯(lián)網(wǎng)、專線網(wǎng)、無(wú)線網(wǎng)）、硬件（服務(wù)器、主機(jī)、應(yīng)用終端、共享設(shè)備）、物理環(huán)境，它們是組織業(yè)務(wù)賴以生存的基礎(chǔ)（如電力、WEB服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等），一旦出現(xiàn)故障或中斷，它所承載的應(yīng)用也會(huì)出現(xiàn)問題或停頓。

基礎(chǔ)設(shè)施風(fēng)險(xiǎn)要求組織在應(yīng)用層、網(wǎng)絡(luò)層、鏈路層、物理層面進(jìn)行綜合防御。

8）業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)

依賴于信息系統(tǒng)服務(wù)的組織關(guān)鍵業(yè)務(wù)可能因系統(tǒng)的“宕機(jī)”而中斷，或是因系統(tǒng)服務(wù)效能的降低（如響應(yīng)時(shí)間過長(zhǎng)）造成新客戶的流失或老客戶的轉(zhuǎn)移。

業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)，要求機(jī)構(gòu)具備信息技術(shù)服務(wù)、安全事件處理和災(zāi)難恢復(fù)能力。

9）第三方合作風(fēng)險(xiǎn)

第三方指服務(wù)供應(yīng)商、銷售商。隨著外包業(yè)務(wù)的興起，許多組織業(yè)務(wù)依賴于供應(yīng)商和銷售商的服務(wù)提供，由于不完備的合同、第三方服務(wù)能力性能下降、不適應(yīng)快速增長(zhǎng)的業(yè)務(wù)需求、缺乏第三方的管理經(jīng)驗(yàn)、產(chǎn)品支持失效、過短的升級(jí)周期、功能性不足等多種風(fēng)險(xiǎn)因素，導(dǎo)致第三方服務(wù)失效。

第三方合作風(fēng)險(xiǎn)要求在合同談判、轉(zhuǎn)換服務(wù)上加強(qiáng)風(fēng)險(xiǎn)管理。

10）風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)

如果不專業(yè)的風(fēng)險(xiǎn)評(píng)估人員、不科學(xué)的評(píng)估方法、不一致的評(píng)估標(biāo)準(zhǔn)常常會(huì)造成系統(tǒng)風(fēng)險(xiǎn)評(píng)估的不一致、不正確的風(fēng)險(xiǎn)評(píng)估結(jié)果，造成風(fēng)險(xiǎn)決策出現(xiàn)失誤。

11）法律風(fēng)險(xiǎn)

在信息系統(tǒng)的運(yùn)行過程中，由于不知曉國(guó)家法律，或是明知故犯，使組織面臨由于個(gè)人隱私泄露所造成的風(fēng)險(xiǎn)。

12）決策風(fēng)險(xiǎn)

應(yīng)用風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行風(fēng)險(xiǎn)決策和控制選擇是信息安全風(fēng)險(xiǎn)管理的核心，也是最終的目標(biāo)。如果在風(fēng)險(xiǎn)分析、評(píng)估、控制方面不能全面、科學(xué)反映組織的安全狀態(tài)，決策者可能會(huì)在安全投資方面出現(xiàn)重大失誤。決策風(fēng)險(xiǎn)主要是依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果在風(fēng)險(xiǎn)避免、風(fēng)險(xiǎn)減緩、風(fēng)險(xiǎn)轉(zhuǎn)移和風(fēng)險(xiǎn)承受四個(gè)方面進(jìn)行權(quán)衡決策，避免決策失誤。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202008/ccaa_5461.html