10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构服务项目
最新动态
热点文章
首页 > 服务项目 > ISO27001信息安全管理体系认证咨询 > 信息安全风险评估流程是怎样的?ISO27001信息安全认证办理iso27001证书:信息安全风险评估流程是怎样的?ISO27001信息安全认证办理
1、风险分析原理
风险分析原理如下:
a)根据威胁的来源、种类、动机等.并结合威胁相关安全事件、日志等历史数据统计,确定威胁的能力和频率;
b)根据脆弱性访问路径、触发要求等,以及已实施的安全措施及其有效性确定脆弱性被利用难易程度;
c)确定脆弱性被威胁利用导致安全事件发生后对资产所造成的影响程度;
d)根据威胁的能力和频率,结合脆弱性被利用难易程度,确定安全事件发生的可能性;
e)根据资产在发展规划中所处的地位和资产的属性,确定资产价值;
f)根据影响程度和资产价值,确定安全事件发生后对评估对象造成的损失;
g)根据安全事件发生的可能性以及安全事件造成的损失,确定评估对象的风险值;
h)依据风险评价准则,确定风险等级,用于风险决策。
.png)
2、风险评估流程
风险评估的实施流程如图2所示。风险评估流程应包括如下内容。
a)评估准备,此阶段应包括:
1) 确定风险评估的目标;
2)确定风险评估的对象、范围和边界;
3)组建评估团队;
4)开展前期调研;
5)确定评估依据;
6)建立风险评价准则;
7)制定评估方案。
组织应形成完整的风险评估实施方案,并获得组织最高管理者的支持和批准。
b)风险识别,此阶段应包括:
1)资产识别(见 5.2.1);
2)威胁识别(见5.2.2);
3)已有安全措施识别(见5.2.3);
4)脆弱性识别(见 5.2.4)。
c)风险分析,此阶段依据识别的结果计算得到风险值。
d)风险评价,此阶段依据风险评价准则确定风险等级。
沟通与协商和评估过程文档管理贯穿于整个风险评估过程。风险评估工作是持续性的活动,当评估对象的政策环境、外部威胁环境、业务目标、安全目标等发生变化时,应重新开展风险评估。
风险评估的结果能够为风险处理提供决策支撑,风险处理是指对风险进行处理的一系列活动,如接受风险、规避风险、转移风险、降低风险等。风险处理按照GB/T 33132-2016开展。
想了解更多的关于iso27001证书信息可以经常关注我们
