深圳ISO27001認(rèn)證信息安全風(fēng)險(xiǎn)評(píng)估模型設(shè)計(jì)的準(zhǔn)備和計(jì)劃階段

深圳ISO27001認(rèn)證信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備，是實(shí)施風(fēng)險(xiǎn)評(píng)估的前提，為了保證評(píng)估過(guò)程的可控性以及評(píng)估結(jié)果的客觀性，在信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施前應(yīng)進(jìn)行充分的準(zhǔn)備和計(jì)劃信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備活動(dòng)包括：

（1）確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)

在ISO27001信息安全風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段應(yīng)明確風(fēng)險(xiǎn)評(píng)估的目標(biāo)，為信息安全風(fēng)險(xiǎn)評(píng)估的過(guò)程提供導(dǎo)向。信息安全需求是一個(gè)組織為保證其業(yè)務(wù)正常、有效運(yùn)轉(zhuǎn)而必須達(dá)到的信息 安全要求，通過(guò)分析組織必須符合的相關(guān)法律法規(guī)、組織在業(yè)務(wù)流程中對(duì)信息安全等的保密性、完整性、可用性等方面的需求，來(lái)確定信息安全險(xiǎn)評(píng)估的目標(biāo)。

（2）確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍

既定的ISO27001信息安全風(fēng)險(xiǎn)評(píng)估可能只針對(duì)組織全部資產(chǎn)的一個(gè)子集，評(píng)估范圍必須明確。描述范圍最重要的是對(duì)于評(píng)估邊界的描述。評(píng)估的范圍可能是單個(gè)系統(tǒng)或者是多個(gè)關(guān)聯(lián)的系統(tǒng)比較好的方法是按照物理邊界和邏輯邊界來(lái)描述某次風(fēng)險(xiǎn)評(píng)估的范圍。

（3）組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)

在評(píng)估的準(zhǔn)備階段，評(píng)估組織應(yīng)成立專(zhuān)門(mén)的評(píng)估團(tuán)隊(duì)，具體執(zhí)行組織的信息安全風(fēng)險(xiǎn)評(píng)估。團(tuán)隊(duì)成員應(yīng)包括評(píng)估單位領(lǐng)導(dǎo)、信息安全風(fēng)險(xiǎn)評(píng)估專(zhuān)家、技術(shù)專(zhuān)家，還應(yīng)該包括管理層、業(yè)務(wù)部門(mén)、人力資源、IT系統(tǒng)和來(lái)自用戶的代表。

（4）進(jìn)行系統(tǒng)調(diào)研

系統(tǒng)調(diào)研是確定被評(píng)估對(duì)象的過(guò)程。風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)?wèi)?yīng)進(jìn)行充分的系統(tǒng)調(diào)研，為信息安全風(fēng)險(xiǎn)評(píng)估依據(jù)和方法的選擇、評(píng)估內(nèi)容的實(shí)施奠定基礎(chǔ)。調(diào)研內(nèi)容至少應(yīng)包括：業(yè)務(wù)戰(zhàn)略及管理制度、主要的業(yè)務(wù)功能和要求；網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接、系統(tǒng)邊界；主要的硬件、軟件：數(shù)據(jù)和信息、統(tǒng)和數(shù)據(jù)的敏感性；支持和使用系統(tǒng)的人員。

（5）確定信息安全風(fēng)險(xiǎn)評(píng)估依據(jù)和方法

ISO27001信息安全風(fēng)險(xiǎn)評(píng)估依據(jù)包括現(xiàn)有國(guó)際或國(guó)家有關(guān)信息安全標(biāo)準(zhǔn)、組織的行業(yè)主管機(jī)關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度、組織的信息系統(tǒng)互聯(lián)單位的安全要求、組織的信息系統(tǒng) 本身的實(shí)時(shí)性或性能要求等。根據(jù)信息安全評(píng)估風(fēng)險(xiǎn)依據(jù)，并綜合考慮信息安全K險(xiǎn)評(píng)估的目的、范圍、時(shí)間、效果、評(píng)估人員素質(zhì)等因素，選擇具體的風(fēng)險(xiǎn)計(jì)算方 法，并依據(jù)組織業(yè)務(wù)實(shí)施對(duì)系統(tǒng)安全運(yùn)行的需求.確定相關(guān)的評(píng)估剡斷依據(jù)，使之能夠與組織壞境和安全要求相適應(yīng)。

（6）制定信息安全風(fēng)險(xiǎn)評(píng)估方案

ISO27001信息安全風(fēng)險(xiǎn)評(píng)估方案的內(nèi)容一般包括：團(tuán)隊(duì)組織：包括評(píng)估團(tuán)隊(duì)成員、組織結(jié)構(gòu)、角色、責(zé)任等內(nèi)容。工作計(jì)劃、信息安全風(fēng)險(xiǎn)評(píng)估各階段的工作計(jì)劃，包括工作內(nèi)容、工作形式、工作成果等內(nèi)容、時(shí)間進(jìn)度安排、項(xiàng)目實(shí)施的時(shí)間進(jìn)度安排。

（7）獲得最高管理者對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作的支持

ISO27001信息安全風(fēng)險(xiǎn)評(píng)估需要相關(guān)的財(cái)力和人力的支持，管理層必須以明示的方式表明對(duì)評(píng)估活動(dòng)的支持，對(duì)資源調(diào)配做出承諾，并對(duì)信息安全風(fēng)險(xiǎn)評(píng)估小組賦予足夠的權(quán)利，信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)才能順利進(jìn)行。

在做好風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備工作之后，需要對(duì)企業(yè)的當(dāng)前的信息安全系統(tǒng)進(jìn)行資產(chǎn)識(shí)別、威脅識(shí)別和脆弱性識(shí)別。

此外，在對(duì)企業(yè)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估之前，如果要保障企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程順利實(shí)現(xiàn)并且風(fēng)險(xiǎn)評(píng)估結(jié)果真實(shí)有效，最重要的一點(diǎn)是要首先針對(duì)企業(yè)的信息安全 管理工作制定一個(gè)風(fēng)險(xiǎn)評(píng)估策略。好的風(fēng)險(xiǎn)評(píng)估策略是風(fēng)險(xiǎn)評(píng)估模型是否設(shè)計(jì)成功的關(guān)鍵，同時(shí)，一個(gè)好的風(fēng)險(xiǎn)評(píng)估策略需要包括企業(yè)信息安全風(fēng)險(xiǎn)產(chǎn)生的起因以及 進(jìn)行風(fēng)險(xiǎn)評(píng)估操作的范圍和目的。

由于企業(yè)的信息安全風(fēng)險(xiǎn)的產(chǎn)生因素包括外部風(fēng)險(xiǎn)因素和內(nèi)部風(fēng)險(xiǎn)因素，這些風(fēng)險(xiǎn)因素都是企業(yè)日常工作中時(shí)刻面臨的。風(fēng)險(xiǎn)因素是企業(yè)信息安全風(fēng)險(xiǎn)事故發(fā)生的潛存原因，風(fēng)險(xiǎn)因素主要是引起企業(yè)信息安全風(fēng)險(xiǎn)事故發(fā)生 的大小以及頻率的因素，是企業(yè)信息安全風(fēng)險(xiǎn)出現(xiàn)威脅和損失的內(nèi)在和間接的原因。因此，要定時(shí)定量的對(duì)這些風(fēng)險(xiǎn)進(jìn)行評(píng)估來(lái)測(cè)定其風(fēng)險(xiǎn)程度。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專(zhuān)業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專(zhuān)利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專(zhuān)利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專(zhuān)利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專(zhuān)利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://bqlw.net/zs/202105/ccaa_23371.html