人人搞人人摸_人人插人人干_人人插人人操_人人叉

×

搜索你所關注的

搜索建議

ISO9001 ISO14001 ISO45001 GB/T50430

ISO/IEC 27001:2013標準 正文 6 規劃/6.1 應對風險和機會的措施/6.1.2 信息安全風險評估

2020-09-14 15:39:27  admin  1557

6.1.2 信息安全風險評估

組織應定義并應用風險評估過程,以:

a) 建立并保持信息安全風險準則,包括:

1) 風險接受準則;

2) 執行信息安全風險評估的準則;

b) 確保重復性的信息安全風險評估可產生一致的、有效的和可比較的結果;

c) 識別信息安全風險:

1) 應用信息安全風險評估過程來識別信息安全管理體系范圍內的信息喪失保密性、完整性和可用性的相關風險;

2) 識別風險負責人;


組織應定義并應用風險評估過程,以:

d) 分析信息安全風險:

1) 評估6.1.2 c)1)中所識別風險發生后將導致的潛在影響;

2) 評估6.1.2 c)1)中所識別風險發生的現實可能性;

3) 確定風險級別;

e) 評價信息安全風險;

1) 將風險分析結果同6.1.2 a)建立的風險準則進行比較;

2) 為實施風險處置確定已分析風險的優先級。

組織應定義并應用風險評估過程,以:

組織應保留信息安全風險評估過程的文件記錄信息。


1、本條款與后面的“6.1.3”是ISO/IEC 27001:2013標準所特有的,故推薦單獨建立過程實施(如圖)。

2、本條款要求組織建立信息安全風險評估過程,并且需要形成書面的程序文件。文件中需明確以下內容:a)風險接受準則;b)風險評估實施準則;c)風險識別過程;d)風險分析過程;e)風險級別確定過程等。

3、信息安全風險準則(包含風險接受準則以及風險評估實施準則)宜根據組織的背景和利益相關方的要求來建立,一方面宜根據最高管理層的風險偏好和風險認知來定義,另一方面宜允許一個可行的和適當的風險管理過程。信息安全風險準則宜聯系ISMS的預期結果來建立。也就是說信息安全風險準則要根據組織自身的實際情況來制定。

4、風險接受準則涉及風險評估(在評價階段,此時,組織宜了解風險是否可以接受)和風險處置活動(此時,組織宜理解提議的風險處置是否足以達到可接受的風險水平)。風險接受準則可能是基于可接受風險的最高級別、成本效益考慮或對組織的后果。風險接受標準宜由負有責任的管理者批準。

5、風險評估過程應基于設計的足夠詳細的方法和工具,以便得出一致的、有效的和可比較的結果。無論選擇何種方法,信息安全風險評估過程應確保:a)所有的風險都在需要的細節層面上被考慮;b)其結果是一致的和可重復的(即風險的識別,其分析和評估可以被第三方理解,并且當不同的人在相同情況下評估風險時結果是相同的);c)重復的風險評估的結果是可比較的(即可以了解風險水平是增加的還是減少的)。當整個或部分信息安全風險評估過程重復時,結果前后矛盾或不一致,可能表明所選擇的風險評估方法是不適當的。

6、風險識別是發現、辨別和描述風險的過程。這包括識別風險來源、事態、其原因和其潛在后果。風險識別的目的是基于那些可能引起、提高、阻礙、降低、加速或延遲實現信息安全目標的事態,形成全面的風險清單。通常使用兩種方法來識別信息安全風險:a)基于事態的方法:以通用的方式考慮風險來源。考慮的事態可能發生在過去,或者可預見的未來。第一種情況可能涉及歷史數據,第二種情況可能基于理論分析和專家意見。此種方法是基于ISO 31000中關于風險評估的工作原理和通用指導原則,目前ISO 14001以及ISO 45001對于環境因素和危險源的風險分析多采用這種方式。b)基于資產、威脅和脆弱性識別的方法:考慮兩種不同類型的風險來源:具有內在脆弱性的資產和威脅。這里考慮的潛在事態是威脅來如何利用資產的某些脆弱性來影響組織的目標。這種方式是ISO/IEC 27001:2013所特有的,是比較有針對性的風險評估方式,指導標準為ISO/IEC 27005。

7、其它風險識別方法也可以被使用,如果其被證明具有類似的實際作用,并且能夠確保6.1.2 b))中的要求。不建議在第一輪風險評估中風險識別過于詳細。對信息安全風險有一個高層次的清晰的畫像遠比根本沒有畫像好。

8、風險分析的目標是確定風險級別。基于后果和可能性的風險分析技術可能是:a)定性,使用一個限定屬性的尺度(如高、中、低);b)定量,使用一個數值尺度(如貨幣成本、發生頻率或機率);c)定量,使用具有指定值的定性尺度。無論使用哪種風險分析技術,都宜考慮其客觀性水平。

9、風險評估的最后一步是根據6.1.2a)所定義的接受準則,驗證前一步分析過的風險是否可以接受,還是需要進一步的處置。 6.1.2 d)中的步驟提供了關于風險重要程度的信息,但沒有提供有關實施風險處理選項的緊迫性的直接信息。依據據風險發生的條件,他們可能有不同的處置優先級。因此,這一步驟的輸出宜是按優先順序排列的風險清單。這有利于保留來自風險識別和風險分析步驟中的進一步信息,以支持風險處置的決策。

10、實施本條款需要的常用文件和記錄:《信息安全風險評估控制程序》、信息安全風險評估報告等。

:ISO27001信息安全認證,體系建立流程 :成都地區,影響ISO27001認證收費的因素? 返回列表
更多服務推薦 換一批
網站首頁 撥打電話 在線咨詢