ISO27001信息安全风险评估模型设计的准备和计划阶段-ISO认证咨询|ISO9000|质量管理体系|ISO9001|ISO9000认证|ISO9001认证|ISO14001认证|OHSAS18001认证|GB50430认证|TS16949认证|ISO13485认证|国军标认证-临沂艾迪商务服务有限公司

ISO认证咨询

您当前的位置：首页 > ISO认证咨询

ISO27001信息安全风险评估模型设计的准备和计划阶段

ISO27001信息安全风险评估模型设计的准备和计划阶段

ISO27001信息安全风险评估的准备，是实施风险评估的前提，为了保证评估过程的可控性以及评估结果的客观性，在信息安全风险评估实施前应进行充分的准备和计划信息安全风险评估的准备活动包括：

（1）确定信息安全风险评估的目标

在ISO27001信息安全风险评估准备阶段应明确风险评估的目标，为信息安全风险评估的过程提供导向。信息安全需求是一个组织为保证其业务正常、有效运转而必须达到的信息安全要求，通过分析组织必须符合的相关法律法规、组织在业务流程中对信息安全等的保密性、完整性、可用性等方面的需求，来确定信息安全险评估的目标。

（2）确定信息安全风险评估的范围

既定的ISO27001信息安全风险评估可能只针对组织全部资产的一个子集，评估范围必须明确。描述范围最重要的是对于评估边界的描述。评估的范围可能是单个系统或者是多个关联的系统比较好的方法是按照物理边界和逻辑边界来描述某次风险评估的范围。

（3）组建适当的评估管理与实施团队

在评估的准备阶段，评估组织应成立专门的评估团队，具体执行组织的信息安全风险评估。团队成员应包括评估单位领导、信息安全风险评估专家、技术专家，还应该包括管理层、业务部门、人力资源、IT系统和来自用户的代表。

（4）进行系统调研

系统调研是确定被评估对象的过程。风险评估团队应进行充分的系统调研，为信息安全风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括：业务战略及管理制度、主要的业务功能和要求；网络结构与网络环境，包括内部连接和外部连接、系统边界；主要的硬件、软件：数据和信息、统和数据的敏感性；支持和使用系统的人员。

（5）确定信息安全风险评估依据和方法

ISO27001信息安全风险评估依据包括现有国际或国家有关信息安全标准、组织的行业主管机关的业务系统的要求和制度、组织的信息系统互联单位的安全要求、组织的信息系统本身的实时性或性能要求等。根据信息安全评估风险依据，并综合考虑信息安全K险评估的目的、范围、时间、效果、评估人员素质等因素，选择具体的风险计算方法，并依据组织业务实施对系统安全运行的需求.确定相关的评估剡断依据，使之能够与组织坏境和安全要求相适应。

（6）制定信息安全风险评估方案

ISO27001信息安全风险评估方案的内容一般包括：团队组织：包括评估团队成员、组织结构、角色、责任等内容。工作计划、信息安全风险评估各阶段的工作计划，包括工作内容、工作形式、工作成果等内容、时间进度安排、项目实施的时间进度安排。

（7）获得最高管理者对信息安全风险评估工作的支持

ISO27001信息安全风险评估需要相关的财力和人力的支持，管理层必须以明示的方式表明对评估活动的支持，对资源调配做出承诺，并对信息安全风险评估小组赋予足够的权利，信息安全风险评估活动才能顺利进行。

在做好风险评估的准备工作之后，需要对企业的当前的信息安全系统进行资产识别、威胁识别和脆弱性识别。

此外，在对企业进行信息安全风险评估之前，如果要保障企业信息安全风险评估过程顺利实现并且风险评估结果真实有效，最重要的一点是要首先针对企业的信息安全管理工作制定一个风险评估策略。好的风险评估策略是风险评估模型是否设计成功的关键，同时，一个好的风险评估策略需要包括企业信息安全风险产生的起因以及进行风险评估操作的范围和目的。

由于企业的信息安全风险的产生因素包括外部风险因素和内部风险因素，这些风险因素都是企业日常工作中时刻面临的。风险因素是企业信息安全风险事故发生的潜存原因，风险因素主要是引起企业信息安全风险事故发生的大小以及频率的因素，是企业信息安全风险出现威胁和损失的内在和间接的原因。因此，要定时定量的对这些风险进行评估来测定其风险程度。

临沂艾迪商务服务有限公司于 2006 年注册成立，本着为“根直沂蒙大地，服务全国各地，专业iso认证，iso900认证，iso9001认证iso14000认证，OHS18000认证为企业服务”的主导思想，站在时代的前沿，把握经济信息脉搏，依托自身优势资源，集网络各地信息渠道的有利形式，为企业从“注册公司，创建品牌以及企业管理，网站建设，资质认证，品牌代理等一系列策划工作，经过多年运作经验的积累，中心已经与多家商会，协会及企事业单位建立了良好的合作伙伴关系，以提供”更优质，快捷，多方位服务来满足广大国内外中小企业客商的需求；已为来自全球多个国家和地区的万余家中外客户，提供了多种形式及内容不同的企划、咨询顾问及代理服务，现代化的通讯工具， 24 小时的呼叫中心，中英文客户服务实时解答您所遇到的疑难问题，全国各地的连锁服务，让您感受到艾迪人，时刻在您的身边，倾听您的呼唤，解决您的所需；以以诚相待，诚信经营，服务第一，满足客户全方位需求并成为您成功的战略合作伙伴来作为我们服务的最终目标；争创“一站式”企业商务服务品牌；把“控制成本，降低费用，挖掘潜力，提高效益”作为经营目标，越来越多的企业和个人成为艾迪的客户，亦有艾迪协助国内客商走向世界的成功案例；为谋求海外发展的中国内地企业提供全程商务服务，并成为贵公司前进道路过程中的服务商，我们珍重并以真诚回报您给予的信任和期待，将以专业化的服务来解决企业发展过程中存在的疑难问题，助企业一臂之力。