ISO27001风险评估程序.docVIP

  1. 1、本文档共9页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

ISO27001风险评估程序

1目的

为了对公司的信息资产进行风险评估和风险控制,评估组织信息资产所面临的风险并对风险实施有效控制,以确保风险被降低或消除,特制定本程序。

2适用范围

本程序适用于适用于对公司的信息资产进行风险评估和风险控制。

3职责与权限

信息平安委员会

制定资产评估准那么,确定风险评估方法;

负责对控制目标、控制措施的有效性进行监督和评审。

确定风险评估的范围;

指导各部门进行风险评估;

汇总和分析风险评估结果,作出风险评价;

制定风险处理方案,向信息平安委员会提交信息平安风险评估报告。

各部门资产负责人按规定维护相关资产。

识别并列出跟本部门业务有关的资产;

对本部门资产进行风险评估。

4风险评估程序和工作流程

过程识别

在ISMS范围内,各部门识别本部门涉及的主要业务过程及使用的各类信息资产。

风险评估

风险评估是依据有关信息平安技术与管理标准,对信息系统及由其处理、传输和存储的信息的必威体育官网网址性、完整性和可用性等平安属性进行评价的过程。即风险分析和风险评价的全过程。

风险管理

风险管理是识别、控制、消除、减小可能影响信息系统资源的不确定事件的过程。指导和控制一个组织的风险的协调的活动。

风险评估方法

结合公司在风险评估时投入的时间、人力、本钱等各方面的因素,公司采用根本风险评估方法。根本的风险评估方法是指应用直接和简易的方法到达根本的平安水平,就能满足组织及其业务环境的所有要求。公司采用这种方法使得组织在识别和评估根本平安需求的根底上,通过建立相应的信息平安管理体系,获得对信息资产的根本保护。

风险评估与风险管理的区分

风险管理是把整个组织内的风险降低到可接受水平的整个过程。??

是一个持续的周期,通常以一定的间隔重新开始来更新流程中各个地区阶段的数据

是一个持续循环、不断上升的过程。

风险评估是确定组织面临的风险并确定其优先级的过程,是风险管理流程中最必须、最谨慎的一个过程。??

当潜在的与平安相关的事件在企业内发生时,如变动业务方法、发现新的漏洞等,组织都可能会启动风险评估。

风险评估实施流程

总要求:组织应根据整体业务活动和风险,建立、实施、运行、监视、评审、保持并改良文件化的ISMS。

图风险评估实施流程

风险评估准备

确定风险评估的目标;(满足我公司业务持续开展在平安方面的需要及法律法规)

确定风险评估的范围;(组织全部的信息及与信息处理相关的各类资产、管理机构)

组建适当的评估管理与实施团队;(由管理层、相关业务骨干、IT技术人员等组成的风险评估小组)

选择与组织相适应的具体的风险判断方法;(考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险判断方法)

获得最高管理者对风险评估工作的支持。(得到组织的最高管理者的支持、批准)

资产识别

列出在信息平安管理体系范围内,与我公司内的业务环境、业务运营及信息相关的资产。

资产分类;(人员、实体、软件、文件、数据、效劳、无形、效劳及其他资产)

资产赋值〔CIA:对资产在机密性、完整性和可用性上的达成程度进行综合评定得出〕;

资产重要性等级确定。

威胁识别

使用与资产相关的通用威胁列表,检查并列出资产的威胁。

威胁分类;

威胁赋值;

脆弱性识别

使用与资产相关的通用薄弱点列表,检查并列出资产的脆弱性。

识别方法

识别内容

脆弱性赋值

对现有平安控制的识别

识别并整理所有与资产相关联的、现有的或者已经作了方案的控制措施。

风险分析

分析由上述评估产生的有关资产、威胁和脆弱性的信息,以实用的、简单的方法进行风险测量,计算出风险等级。

把识别分析出来的风险与风险判据进行比拟,以判断特定的风险是否可接受或需采取其它措施处置。

风险分析的结果为具有不同等级的风险列表,并记录在《资产风险评估表》中。

风险处理

对评定后的风险等级进行判定,确定是否能接受,如可接受,那么按现有控制措施进行控制,如不可接受,那么应选择采取新的平安控制措施,并对需要投入较长时间和较高费用的高风险制定风险处理方案,记录在《资产风险评估表》中,按风险处理方案进行处理后重新评价风险,直至风险降低或可接受为止。

确定可接受的剩余风险的水平;

持续地评审威胁以及薄弱点;

评审现有的平安控制方法;

应用ISO/IEC27001中的其它平安控制方法;

引入方针和程序。

剩余风险

根据风险评价结果,判断剩余风险是否可接受,是,那么实施风险控制;否,那么制定风险处理方案。

风险控制

根据风险处理结果,按照确定的风险控制措施和方案进行落实,必要时形成相关控制文件。

风险控制措施可根据控制费用与风险平衡的原那么,参照以下方式进行选择,以降低风险:

防止风险;

转移风险;

减少风险;

减少薄弱点;

减少威胁可能的影响程度;

探测有害事故,对其做出反响并恢复。

风险计算原理

风险值=R〔A,

文档评论(0)

199****4744 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

版权声明书
用户编号:7002121022000045

1亿VIP精品文档

相关文档