返回
ISO27001风险评估程序

ISO27001风险评估程序

ID:46767414

大小:293.00 KB

页数:8页

时间:2019-11-27

ISO27001风险评估程序_第1页
ISO27001风险评估程序_第2页
ISO27001风险评估程序_第3页
ISO27001风险评估程序_第4页
ISO27001风险评估程序_第5页
资源描述:

《ISO27001风险评估程序》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、ISO27001风险评估程序1目的为了对公司的信息资产进行风险评估和风险控制,评估组织信息资产所面临的风险并对风险实施有效控制,以确保风险被降低或消除,特制定本程序。2适用范围本程序适用于适用于对公司的信息资产进行风险评估和风险控制。3职责与权限3.1信息安全委员会²制定资产评估准则,确定风险评估方法;²负责对控制目标、控制措施的有效性进行监督和评审。²确定风险评估的范围;²指导各部门进行风险评估;²汇总和分析风险评估结果,作出风险评价;²制定风险处理计划,向信息安全委员会提交信息安全风险评估报告。3.3各部门²各部门资产负责人按规定维护相关资产。²识别

2、并列出跟本部门业务有关的资产;²对本部门资产进行风险评估。4风险评估程序和工作流程4.1风险评估与管理4.1.1过程识别在ISMS范围内,各部门识别本部门涉及的主要业务过程及使用的各类信息资产。4.1.2风险评估风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。即风险分析和风险评价的全过程。4.1.3风险管理风险管理是识别、控制、消除、减小可能影响信息系统资源的不确定事件的过程。指导和控制一个组织的风险的协调的活动。4.1.4风险评估方法结合公司在风险评估时投入的时间、人力、

3、成本等各方面的因素,公司采用基本风险评估方法。基本的风险评估方法是指应用直接和简易的方法达到基本的安全水平,就能满足组织及其业务环境的所有要求。公司采用这种方法使得组织在识别和评估基本安全需求的基础上,通过建立相应的信息安全管理体系,获得对信息资产的基本保护。4.1.5风险评估与风险管理的区分风险管理是把整个组织内的风险降低到可接受水平的整个过程。?²是一个持续的周期,通常以一定的间隔重新开始来更新流程中各个地区阶段的数据²是一个持续循环、不断上升的过程。风险评估是确定组织面临的风险并确定其优先级的过程,是风险管理流程中最必须、最谨慎的一个过程。?²当潜

4、在的与安全相关的事件在企业内发生时,如变动业务方法、发现新的漏洞等,组织都可能会启动风险评估。4.2风险评估实施流程总要求:组织应根据整体业务活动和风险,建立、实施、运行、监视、评审、保持并改进文件化的ISMS。图风险评估实施流程4.2.1风险评估准备²确定风险评估的目标;(满足我公司业务持续发展在安全方面的需要及法律法规)²确定风险评估的范围;(组织全部的信息及与信息处理相关的各类资产、管理机构)²组建适当的评估管理与实施团队;(由管理层、相关业务骨干、IT技术人员等组成的风险评估小组)²选择与组织相适应的具体的风险判断方法;(考虑评估的目的、范围、时

5、间、效果、人员素质等因素来选择具体的风险判断方法)²获得最高管理者对风险评估工作的支持。(得到组织的最高管理者的支持、批准)4.2.2资产识别列出在信息安全管理体系范围内,与我公司内的业务环境、业务运营及信息相关的资产。²资产分类;(人员、实体、软件、文件、数据、服务、无形、服务及其他资产)²资产赋值(CIA:对资产在机密性、完整性和可用性上的达成程度进行综合评定得出);²资产重要性等级确定。4.2.3威胁识别使用与资产相关的通用威胁列表,检查并列出资产的威胁。²威胁分类;²威胁赋值;4.2.4脆弱性识别使用与资产相关的通用薄弱点列表,检查并列出资产的脆

6、弱性。²识别方法²识别内容²脆弱性赋值4.2.5对现有安全控制的识别识别并整理所有与资产相关联的、现有的或者已经作了计划的控制措施。4.2.6风险分析分析由上述评估产生的有关资产、威胁和脆弱性的信息,以实用的、简单的方法进行风险测量,计算出风险等级。把识别分析出来的风险与风险判据进行比较,以判断特定的风险是否可接受或需采取其它措施处置。风险分析的结果为具有不同等级的风险列表,并记录在《资产风险评估表》中。4.2.7风险处理对评定后的风险等级进行判定,确定是否能接受,如可接受,则按现有控制措施进行控制,如不可接受,则应选择采取新的安全控制措施,并对需要投入

7、较长时间和较高费用的高风险制定风险处理计划,记录在《资产风险评估表》中,按风险处理计划进行处理后重新评价风险,直至风险降低或可接受为止。²确定可接受的残余风险的水平;²持续地评审威胁以及薄弱点;²评审现有的安全控制方法;²应用ISO/IEC27001中的其它安全控制方法;²引入方针和程序。4.2.8残余风险根据风险评价结果,判断残余风险是否可接受,是,则实施风险控制;否,则制定风险处理计划。4.2.9风险控制根据风险处理结果,按照确定的风险控制措施和计划进行落实,必要时形成相关控制文件。风险控制措施可根据控制费用与风险平衡的原则,参照以下方式进行选择,以

8、降低风险:²避免风险;²转移风险;²减少风险;²减少薄弱点;²减少威胁可能的影响

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。