华道众合专业提供ISO20000认证、ISO27001认证、ISO27000认证、信息系统集成及服务资质(CCRC信息安全认证)、itss资质认证、CMMI认证、APP安全认证、商用密码产品认证在线咨询  |  公司简介  |  联系我们
10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构
24小时服务热线:
13681200268
4006-010-725
服务项目
最新动态
热点文章
HOME 首页 > 服务项目 > ISO27001信息安全管理体系认证咨询 > 信息安全风险评估流程(详解)

ISO27001认证:信息安全风险评估流程(详解)

文章录入:华道众合   文章来源:华道众合   添加时间:2021-2-7
(一)准备工作
在信息系统风险评估的过程中,需要多方面的协调。必要的、充分的准备是信息安全风险评估成功的关键。在本阶段应实现一个基本过程,即资源准备的过程。准备过程涉及以下几个方面的内容,在进行安全风险评估前,应至少包括以下几个方面的准备工作:
(1)风险评估小组的成立:依据风险评估可能的规模决定风险评估工作的大小,通常由管理人员和技术人员联合构成,必要时聘请行业专家协助,有时也采取外包方式将整个评估工作外包给有丰富经验的公司,需要注意的是即便外包给专业机构,成立的评估小组一定要有组织自己的人员参与,特别是能够协调组织资源的人参与;
(2)风险评估的初步计划:针对5个阶段需要制定初步的实施计划,以保证整个体系建设的进度,同时保证风险评估的信息安全。通常安排为:
1)准备工作,5天;
2)范围确定,3天;
3)风险分析,10~50天(依规模大小不同差异较大,如大范围实施时间可能更长);
4)风险评价,5 天;
5)风险报告,10 天。
(3)风险评估的动员:风险评估工作是一项需要全员参与的工作,这也是信息安全管理体系建设进行意识教育的重要环节,因此,做好动员是风险评估成功的关键步骤;
(4)评估工具的准备:除了选择前面介绍的风险评估工具外,还需要选择信息安全技术分析工具、信息安全风险知识库工具和文档管理工具。
(二)范围确定
确定范围是落实一次风险评估所涉及的区域,应涵盖所有的评估对象。在信息安全风险评估中,要确定信息系统的边界以及组成系统的资源和信息。对信息系统的特征进行描述后便确立了风险评估工作的范围,刻画了对系统进行授权运行(或认可)的边界,并为风险定义提供了必要的信息(如硬件、软件、系统连通性、负责部门或支持人员)。这些工作要充分考虑组织的场所和业务范围。
就信息安全管理体系的建设过程中所进行的风险评估范围的确定可以结合组织的体系建设范围考虑,即组织范围、物力范围、业务范围、资产范围和技术范围。
(1)业务范围和边界
组织的业务范围主要包括关键业务及业务特性描述(业务、服务、资产和每一个资产的责任范围和边界等的说明书)。一般从其从事的业务进行描述,如软件开发、系统集成等。
如果公司裁剪某些业务范围,而这些业务范围运营的地理范围、信息系统以及组织范围与其他业务范围有重合,则必须予以清晰说明和界定,客户组织对重合部分 ISMS 范围内业务的影响需进行风险评估,识别存在的风险并采取控制措施。
(2)组织范围和边界
组织范围一般可通过覆盖哪些部门进行范围界定。对哪些部门应该纳入 ISMS 范围,需要考虑这些部门的职责能实现 ISMSPDCA循环,如公司的业务范围是软件开发,那覆盖的组织范围除了软件开发业务部门外,还需要考虑其他如涉及该业务的体系策划部门、监控和持续改进职能部门也必须纳入ISMS范围。
如果有哪些部门没有纳入 ISMS范围内的必须说明其排除在外的适当理由。
(3)物理范围和边界
物理范围一般根据所界定的业务范围和组织范围内所需要使用到的建筑物、场所或设施进行界定。在物理范围界定的时候需考虑临时场所和异地备份地点的情况。
对临时场所原则上需要到现场进行审核,如同时满足以下条件则可考虑采用其他非现场方式取证:1)甲方有合适的理由(如以机密信息或以长距离提出不能去);2)受审核方必须对临时现场风险进行评估并且该残余风险是可接受的,不是重大风险;3)受审核方已经对临时现场信息风险进行监控或定期检查;4)审核员确认通过上述方法信息安全风险可以得到控制。
如果组织内有建筑物、场所或设施没有纳入 ISMS 范围内的必须说明其排除在外的适当理由。对跨越物理边界的信息系统访问方式也必须予以说明,如采用移动访问、远程访问、第三方服务或无线网络等。
(4)资产范围和边界
一般根据确定的业务、组织和物理边界确定资产的范围和边界。ISMS业务范围内的业务流程所涉及的所有软件资产、物理资产、数据资产、人员资产及服务资产等都属于ISMS资产范围;组织范围内所涉及的所有软件资产、物理资产、数据资产、人员资产及服务资产等都属于 ISMS 资产范围;物理范围内所涉及的设施和设备也都属于 ISMS资产范围。如 ISMS资产范围内的资产有被非 ISMS范围访问的或使用的,则必须予以清晰说明,并识别其风险。
(5)技术范围和边界
技术范围指定义 ISMS所包含的信息与通信技术(ICT)和其他技术的边界。ICT边界的定义可以通过信息系统方法进行识别。处理或传输关键业务信息资产的所有信息系统应归入 ISMS范围。对范围之内的和范围之外的信息系统和通信网络应清晰描述,对在该组织管理下的 ICT 被排除出 ISMS范围的需说明理由。
思考:针对你熟悉的组织描述一个风险评估的范围。
(三)风险分析
在实施具体的风险分析过程中,可以从风险因素识别开始,再进行具体分析。根据风险构成模型,识别风险的过程应包括资产收集、资产赋值(确定资产的重要程度)、识别威胁及其发生的可能性、识别脆弱点、分析影响(威胁对评估对象的影响程度)、风险描述和风险计算几个方面:
(1)资产收集
资产识别是信息安全风险评估的基础工作,资产是评估的实体对象,资产收集需要全员参与。在资产收集的过程中必须要解决的问题包括资产的分类和资产列表的形成。风险评估小组需要做好准备工作,即依据组织的实际情况给出适合本组织的资产分类表,在制定资产分类表时可以参考各类标准提供的分类参考(如GB/T 22081—2005/ISO/IEC/27002:2005),也可以参考表2;在制订好资产分类表之后需要结合组织的实际情况设计个人资产收集列表。
1)资产分类
资产分类一定要按照组织自己的实际情况来进行,特别,人员作为组织的一类特殊资产往往不与其他资产一起分类,从风险评估的角度也最好单独处理。
2)资产收集
资产收集是一件十分复杂的工作,难点在于资产的完整收集,通常通过组织的每一位员工共同参与收集,然而多数人并不清楚所定义的分类,更不知道哪些是需要收集的,更多的是收集了某些类型资产而不是收集了每个资产。
资产收集的主要目的是要形成重要资产列表,所以在收集时应将资产可以收集到的属性全部收集,如资产存放的物理位置、资产所依附的资产等。由于这项工作需要与风险评估的全过程密切关联,因此,希望大家思考一个问题,如何设计一张合适组织的资产列表,即需要收集哪些资产属性。
想了解更多的关于ISO27001认证信息可以经常关注我们