10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构服务项目
最新动态
热点文章
首页 > 服务项目 > ISO27001信息安全管理体系认证咨询 > 典型的信息安全风险处理方法有哪些?ISO27001认证:典型的信息安全风险处理方法有哪些?
一、风险处理方法综述
风险处理一直采用的方法包括接受风险、转移风险、规避风险和降低风险。由于风险的不确定性,不要期望完全消除风险。
(一)接受风险
是指如果对于某个风险处理,公司没有很合适的控制措施,或者要采取的控制措施花费太多,要付出公司难于承担的巨大代价,甚至是得不偿失,那么可以考虑决定接受风险的处理方案。由于风险具有不确定性,有风险不意味着就一定发生事故,造成损失。
(二)转移风险
是指将本公司不可接受的风险,全部或部分转给其他方(如保险公司和供应厂商等),由其他方承担全部风险或分担部分风险。如果公司或各部门选择这个方案,则可采取以下方面的转移风险途径∶
(1)利用合同;
(2)利用保险协议;
(3)利用合伙企业或联合企业;
(4)其他。
(三)规避风险
是指通过计划的变更来消除风险或风险发生的条件,保护目标免受风险的影响。
(四)降低风险
到可接受的级别∶是指公司和有关部门选择和执行适当的控制措施,将风险减少到可以接受的程度。这是本文特别关注的风险处理方案。
二、风险处理措施选择
应选择和实施控制目标和控制措施以满足风险评估和风险处理过程中所识别的要求。这种选择应考虑接受风险的准则以及法律法规和合同要求。
信息安全控制措施是组织解决某一方面信息安全问题的目的、范围、流程和步骤的集合,也可以理解为信息安全策略,如防病毒策略、防火墙策略、访问控制策略、电子邮件安全策略,等等。
组织应根据信息安全风险评估的结果,针对具体风险,制定相应的控制目标和实施相应的控制措施。选择控制目标和控制措施应考虑组织的文化以及策略的可实施性。控制措施的选择可以参考信息安全管理实施细则ISO/IEC27002∶2005 所列的14个领域,114 项控制措施,当然也可以根据组织的实际情况选择其他控制措施。
三、风险处理计划制定
信息安全风险处理计划至少应包括如下内容:
(1)风险描述;
(2)导致风险的原因;
(3)风险处理的目标(包括残余风险);
(4)风险处理所需的资源;
(5)风险处理责任人;
(6)风险处理时间计划;
(7)风险处理跟踪情况;
(8)目前实际的残余风险。
想了解更多的关于ISO27001认证信息可以经常关注我们
【相关文章】
