完结小说排行榜,欢乐颂第一季

ISO/IEC 27001:2013標(biāo)準(zhǔn) 正文 6 規(guī)劃/6.1 應(yīng)對風(fēng)險和機(jī)會的措施/6.1.2 信息安全風(fēng)險評估

2021-09-14 15:39:27　　admin　　3247

6.1.2 信息安全風(fēng)險評估

組織應(yīng)定義并應(yīng)用風(fēng)險評估過程，以：

a) 建立并保持信息安全風(fēng)險準(zhǔn)則，包括：

1) 風(fēng)險接受準(zhǔn)則；

2) 執(zhí)行信息安全風(fēng)險評估的準(zhǔn)則；

b) 確保重復(fù)性的信息安全風(fēng)險評估可產(chǎn)生一致的、有效的和可比較的結(jié)果；

c) 識別信息安全風(fēng)險：

1) 應(yīng)用信息安全風(fēng)險評估過程來識別信息安全管理體系范圍內(nèi)的信息喪失保密性、完整性和可用性的相關(guān)風(fēng)險；

2) 識別風(fēng)險負(fù)責(zé)人；

組織應(yīng)定義并應(yīng)用風(fēng)險評估過程，以：

d) 分析信息安全風(fēng)險：

1) 評估6.1.2 c）1）中所識別風(fēng)險發(fā)生后將導(dǎo)致的潛在影響；

2) 評估6.1.2 c）1）中所識別風(fēng)險發(fā)生的現(xiàn)實(shí)可能性；

3) 確定風(fēng)險級別；

e) 評價信息安全風(fēng)險；

1) 將風(fēng)險分析結(jié)果同6.1.2 a）建立的風(fēng)險準(zhǔn)則進(jìn)行比較；

2) 為實(shí)施風(fēng)險處置確定已分析風(fēng)險的優(yōu)先級。

組織應(yīng)定義并應(yīng)用風(fēng)險評估過程，以：

組織應(yīng)保留信息安全風(fēng)險評估過程的文件記錄信息。

1、本條款與后面的“6.1.3”是ISO/IEC 27001：2013標(biāo)準(zhǔn)所特有的，故推薦單獨(dú)建立過程實(shí)施（如圖）。

2、本條款要求組織建立信息安全風(fēng)險評估過程，并且需要形成書面的程序文件。文件中需明確以下內(nèi)容：a）風(fēng)險接受準(zhǔn)則；b）風(fēng)險評估實(shí)施準(zhǔn)則；c）風(fēng)險識別過程；d）風(fēng)險分析過程；e）風(fēng)險級別確定過程等。

3、信息安全風(fēng)險準(zhǔn)則（包含風(fēng)險接受準(zhǔn)則以及風(fēng)險評估實(shí)施準(zhǔn)則）宜根據(jù)組織的背景和利益相關(guān)方的要求來建立，一方面宜根據(jù)最高管理層的風(fēng)險偏好和風(fēng)險認(rèn)知來定義，另一方面宜允許一個可行的和適當(dāng)?shù)娘L(fēng)險管理過程。信息安全風(fēng)險準(zhǔn)則宜聯(lián)系ISMS的預(yù)期結(jié)果來建立。也就是說信息安全風(fēng)險準(zhǔn)則要根據(jù)組織自身的實(shí)際情況來制定。

4、風(fēng)險接受準(zhǔn)則涉及風(fēng)險評估（在評價階段，此時，組織宜了解風(fēng)險是否可以接受）和風(fēng)險處置活動（此時，組織宜理解提議的風(fēng)險處置是否足以達(dá)到可接受的風(fēng)險水平）。風(fēng)險接受準(zhǔn)則可能是基于可接受風(fēng)險的最高級別、成本效益考慮或?qū)M織的后果。風(fēng)險接受標(biāo)準(zhǔn)宜由負(fù)有責(zé)任的管理者批準(zhǔn)。

5、風(fēng)險評估過程應(yīng)基于設(shè)計的足夠詳細(xì)的方法和工具，以便得出一致的、有效的和可比較的結(jié)果。無論選擇何種方法，信息安全風(fēng)險評估過程應(yīng)確保：a）所有的風(fēng)險都在需要的細(xì)節(jié)層面上被考慮；b）其結(jié)果是一致的和可重復(fù)的（即風(fēng)險的識別，其分析和評估可以被第三方理解，并且當(dāng)不同的人在相同情況下評估風(fēng)險時結(jié)果是相同的）；c）重復(fù)的風(fēng)險評估的結(jié)果是可比較的（即可以了解風(fēng)險水平是增加的還是減少的）。當(dāng)整個或部分信息安全風(fēng)險評估過程重復(fù)時，結(jié)果前后矛盾或不一致，可能表明所選擇的風(fēng)險評估方法是不適當(dāng)?shù)摹?/p>

6、風(fēng)險識別是發(fā)現(xiàn)、辨別和描述風(fēng)險的過程。這包括識別風(fēng)險來源、事態(tài)、其原因和其潛在后果。風(fēng)險識別的目的是基于那些可能引起、提高、阻礙、降低、加速或延遲實(shí)現(xiàn)信息安全目標(biāo)的事態(tài)，形成全面的風(fēng)險清單。通常使用兩種方法來識別信息安全風(fēng)險：a）基于事態(tài)的方法：以通用的方式考慮風(fēng)險來源。考慮的事態(tài)可能發(fā)生在過去，或者可預(yù)見的未來。第一種情況可能涉及歷史數(shù)據(jù)，第二種情況可能基于理論分析和專家意見。此種方法是基于ISO 31000中關(guān)于風(fēng)險評估的工作原理和通用指導(dǎo)原則，目前ISO 14001以及ISO 45001對于環(huán)境因素和危險源的風(fēng)險分析多采用這種方式。b）基于資產(chǎn)、威脅和脆弱性識別的方法：考慮兩種不同類型的風(fēng)險來源：具有內(nèi)在脆弱性的資產(chǎn)和威脅。這里考慮的潛在事態(tài)是威脅來如何利用資產(chǎn)的某些脆弱性來影響組織的目標(biāo)。這種方式是ISO/IEC 27001:2013所特有的，是比較有針對性的風(fēng)險評估方式，指導(dǎo)標(biāo)準(zhǔn)為ISO/IEC 27005。

7、其它風(fēng)險識別方法也可以被使用，如果其被證明具有類似的實(shí)際作用，并且能夠確保6.1.2 b））中的要求。不建議在第一輪風(fēng)險評估中風(fēng)險識別過于詳細(xì)。對信息安全風(fēng)險有一個高層次的清晰的畫像遠(yuǎn)比根本沒有畫像好。

8、風(fēng)險分析的目標(biāo)是確定風(fēng)險級別?；诤蠊涂赡苄缘娘L(fēng)險分析技術(shù)可能是：a）定性，使用一個限定屬性的尺度（如高、中、低）；b）定量，使用一個數(shù)值尺度（如貨幣成本、發(fā)生頻率或機(jī)率）；c）定量，使用具有指定值的定性尺度。無論使用哪種風(fēng)險分析技術(shù)，都宜考慮其客觀性水平。

9、風(fēng)險評估的最后一步是根據(jù)6.1.2a）所定義的接受準(zhǔn)則，驗(yàn)證前一步分析過的風(fēng)險是否可以接受，還是需要進(jìn)一步的處置。 6.1.2 d）中的步驟提供了關(guān)于風(fēng)險重要程度的信息，但沒有提供有關(guān)實(shí)施風(fēng)險處理選項(xiàng)的緊迫性的直接信息。依據(jù)據(jù)風(fēng)險發(fā)生的條件，他們可能有不同的處置優(yōu)先級。因此，這一步驟的輸出宜是按優(yōu)先順序排列的風(fēng)險清單。這有利于保留來自風(fēng)險識別和風(fēng)險分析步驟中的進(jìn)一步信息，以支持風(fēng)險處置的決策。

10、實(shí)施本條款需要的常用文件和記錄：《信息安全風(fēng)險評估控制程序》、信息安全風(fēng)險評估報告等。

上一篇：ISO27001信息安全認(rèn)證，體系建立流程下一篇：成都地區(qū)，影響ISO27001認(rèn)證收費(fèi)的因素？返回列表

更多服務(wù)推薦換一批

搜索你所關(guān)注的

搜索建議