用ISO27001标准风险评估,要考虑多方面情况发生。企业信息资产范围广、数量多、涉及人员多,为了在较短的时问内顺利完成信息安全风险评估,必须根据企业的发展情况,初步确定范围和重要资产,有重点地开展信息安全风险评估,根据资产赋值,形成《重要资产清单》。ISO27001标准根据信息资产的属性即保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)以及适用性(Law),采用信息安全风险管理软件,分析和评价风险,评价的内容包括:
信息安全
(1) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;赋值应该有一个统一认识,形成一个合理的参考范围;
(2) 针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失效发生的可能性,并进行赋值;
(3) 根据《信息安全风险评估规范》计算信息安全风险等级;
(4) 根据《信息安全风险评估规范》及风险接受准则,判断风险为可接受或需要处理。根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门选择/制定了信息安全目标,根据风险评估的结果,形成《风险处理计划》,该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。
安全与隐私
建立有效信息安全管理体系
信息安全管理体系的建立,需要在信息安全风险评估的基础上,根据企业的发展战略和实际情况,设计一个好的框架,基本明确体系需要由哪些文件(程序)组成,体系必须符合IS0/27001标准。一个企业,存在大量的管理制度、规范及标准,它们对提高企业的科学管理都具有现实的意义,在建立信息安全管理体系时,有必要先对原有的企业制度、标准进行归纳和整理,合理继承以前的成果,推陈出新,实现企业管理的提升。
首先,体系文件必须齐全,应包括方针和目标、范围、程序、风险评估方法、评估报告、风险处理计划、过程控制文件、过程记录、适用性声明等九大方面;
其次,体系过程必须完整,信息安全管理体系的建立,需要有严格的控制和完整的记录。体系文件的建立不能凭空想象,体系文件的修改、更新、增删必须有严格的控制和完整的记录,所有涉及体系文件的修改,必须得到管理者的许可,确保文件保持清晰、易于识别,确保整个管理体系是充分的;
最后,体系文件必须有效,要根据企业的实际情况建立,它既不是高不可及,也不是企业现状的一种简单描述,它必须与企业的发展战略相适应,能够正确指导企业信息安全管理。
体系文件建立后,应在企业广泛宣传,让信息安全管理体系深入企业管理工作中,指导企业开展信息安全管理,并根据工作实际的变化,不断修改、完善信息安全体系,确保信息安全管理体系与信息安全方针、控制目标一致。同时,企业应根据管理体系,对企业的信息安全风险进行处理,不断整改存在的缺陷和不足,进一步降低企业信息安全风险,提高企业信息安全应急处置能力,提高企业信息安全管理水平,确保信息应用系统安全、可靠、稳定运行。
iso27001
信息安全管理体系建立后,需要用实践来验证,组织管理信息安全的方法及其实施情况(如控制日标和控制措施、策略、过程和信息安全的程序)应该根据策划的时间间隔,或者是当安全实施发生重大变化时进行独立评审。通过认证评审,以确定信息安全管理体系的控制目标、控制措施、过程和程序是否符合本标准等。
声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:16654279@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。
15010987611
点击咨询 