根據(jù)IS027001的標(biāo)準(zhǔn)，風(fēng)險(xiǎn)評(píng)估應(yīng)包括兩部分：

一是估計(jì)風(fēng)險(xiǎn)大小的系統(tǒng)方法，即風(fēng)險(xiǎn)分析；

二是將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較，以確定風(fēng)險(xiǎn)嚴(yán)重性的過程，即風(fēng)險(xiǎn)評(píng)價(jià)。

下面進(jìn)行詳細(xì)說明。

一、風(fēng)險(xiǎn)分析

ISO27001風(fēng)險(xiǎn)分析的方法有很多種，包括定性的方法和定量的方法。其最終落腳點(diǎn)大多數(shù)會(huì)歸結(jié)到“可能性”與“影響程度”上面，并根據(jù)“可能性”和“影響”的組合確定風(fēng)險(xiǎn)程度。

而對(duì)于“可能性”與“影響”的評(píng)分，可以根據(jù)歷史經(jīng)驗(yàn)定性地給出，也可以通過進(jìn)一步細(xì)化或者量化的方法更為精確地給出，最常用的方法之一是通過資產(chǎn)、威脅和脆弱性三個(gè)屬性進(jìn)行分析。

1、資產(chǎn)屬性：即資產(chǎn)價(jià)值，指對(duì)信息資產(chǎn)的綜合評(píng)分，來源于企業(yè)的信息資產(chǎn)管理矩陣，可以通過對(duì)信息資產(chǎn)的機(jī)密性、完整性、可用性三方面分別進(jìn)行定量評(píng)級(jí)后計(jì)算得出。

2、威脅屬性：指的是固有存在的威脅，需要考慮威脅產(chǎn)生的頻率和動(dòng)機(jī)等方面。威脅是與資產(chǎn)相對(duì)應(yīng)的，不同類別的信息資產(chǎn)可能面臨不同類別的威脅，某一資產(chǎn)可能同時(shí)面臨多個(gè)不同的威脅。相對(duì)的，一個(gè)威脅可能對(duì)不同的資產(chǎn)產(chǎn)生影響。威脅可能來源于意外的或者有預(yù)謀的事件。不同的威脅有著不同的動(dòng)機(jī)和能力，因此，可以對(duì)威脅進(jìn)行分析，對(duì)其出現(xiàn)的頻率量化和賦值。

3、脆弱性屬性：指資產(chǎn)薄弱點(diǎn)的嚴(yán)重程度，也以理解為資產(chǎn)被威脅所利用的可能性。薄弱點(diǎn)可能來自軟件、硬件、也可能來源于人員、環(huán)境及管理等方面。某個(gè)威脅可能利用多個(gè)薄弱點(diǎn)， 一個(gè)薄弱點(diǎn)也可能被多個(gè)威脅利用， 弱點(diǎn)一旦被威脅利用就可能產(chǎn)生風(fēng)險(xiǎn)， 從而影響到組織的運(yùn)行或可持續(xù)性發(fā)展。通常從管理和技術(shù)兩個(gè)方面，通過人員訪談、現(xiàn)場觀察、文檔流程檢查等方法針對(duì)不同的資產(chǎn)進(jìn)行脆弱性的嚴(yán)重程度量化和賦值。

4、通過對(duì)資產(chǎn)、威脅和脆弱性的評(píng)級(jí)，匯總成為“可能性”與“影響”的評(píng)分，再進(jìn)而得到風(fēng)險(xiǎn)值的量化評(píng)分。

二、風(fēng)險(xiǎn)評(píng)價(jià)

通過上述ISO27001風(fēng)險(xiǎn)分析的過程，我們可以得到企業(yè)的風(fēng)險(xiǎn)列表，即源于不同資產(chǎn)，不同威脅以及現(xiàn)有的控制水平基礎(chǔ)上的所有風(fēng)險(xiǎn)。ISO27001風(fēng)險(xiǎn)的高低可依照得分的高低排序，其中得分為8的為最高風(fēng)險(xiǎn)點(diǎn)，為0的為最低風(fēng)險(xiǎn)點(diǎn)。

基于此表，風(fēng)險(xiǎn)評(píng)估要設(shè)定一個(gè)可接受的風(fēng)險(xiǎn)值，通常來講，此閾值的設(shè)定需要經(jīng)過信息安全管理委員會(huì)或公司管理層的批準(zhǔn)。低于或等于這個(gè)分值的，意味著風(fēng)險(xiǎn)可以接受，也就是可以維持現(xiàn)有的保護(hù)措施不變。而高于此分值的風(fēng)險(xiǎn)，意味著風(fēng)險(xiǎn)過高，企業(yè)需要采取某些控制措施去降低、回避或轉(zhuǎn)移風(fēng)險(xiǎn)。同時(shí)，對(duì)采取控制措施后的脆弱性進(jìn)行進(jìn)一步分析，以確保如果新的控制措施得以有效執(zhí)行，風(fēng)險(xiǎn)可以降低到可接受的范圍之內(nèi)。

最后通過舉例來進(jìn)行說明，假設(shè)某公司部分信息資產(chǎn)相當(dāng)重要(資產(chǎn)價(jià)值評(píng)分為4)，而因?yàn)椴《緦?dǎo)致公司信息遭到泄露的威脅也很高(評(píng)分為高)，再假設(shè)此公司未安裝任何防病毒軟件或防火墻，那么在防病毒方面的脆弱性評(píng)級(jí)同樣很高(評(píng)級(jí)為高)，從而查表可以得到結(jié)論，此公司的信息資產(chǎn)因?yàn)椴淮嬖趯?duì)病毒的防范控制，從而存在很高的風(fēng)險(xiǎn)(評(píng)級(jí)為8)，那么一定要對(duì)此風(fēng)險(xiǎn)進(jìn)行一定的改進(jìn)措施，比如安裝殺毒軟件，購買防火墻等。再例如，同樣的信息資產(chǎn)和威脅前提，但公司裝有殺毒軟件和防火墻，只是防火墻的級(jí)別不夠高，殺毒軟件沒有及時(shí)升級(jí)，綜合評(píng)價(jià)其脆弱性水平為中，查表可得由此而得的風(fēng)險(xiǎn)水平較高(評(píng)級(jí)為7)。對(duì)于此種風(fēng)險(xiǎn)就要進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)，按照公司的實(shí)際情況確定是否需要進(jìn)行升級(jí)等措施使風(fēng)險(xiǎn)進(jìn)一步降低。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202008/ccaa_5535.html