ISO27001风险评估程序.doc
《ISO27001风险评估程序.doc》由会员分享,可在线阅读,更多相关《ISO27001风险评估程序.doc(10页珍藏版)》请在冰点文库上搜索。
中国3000万经理人首选培训网站
ISO27001风险评估程序
1目的
为了对公司的信息资产进行风险评估和风险控制,评估组织信息资产所面临的风险并对风险实施有效控制,以确保风险被降低或消除,特制定本程序。
2适用范围
本程序适用于适用于对公司的信息资产进行风险评估和风险控制。
3职责与权限
3.1信息安全委员会
²制定资产评估准则,确定风险评估方法;
²负责对控制目标、控制措施的有效性进行监督和评审。
²确定风险评估的范围;
²指导各部门进行风险评估;
²汇总和分析风险评估结果,作出风险评价;
²制定风险处理计划,向信息安全委员会提交信息安全风险评估报告。
3.3各部门
²各部门资产负责人按规定维护相关资产。
²识别并列出跟本部门业务有关的资产;
²对本部门资产进行风险评估。
4风险评估程序和工作流程
4.1风险评估与管理
4.1.1过程识别
在ISMS范围内,各部门识别本部门涉及的主要业务过程及使用的各类信息资产。
4.1.2风险评估
风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。
即风险分析和风险评价的全过程。
4.1.3风险管理
风险管理是识别、控制、消除、减小可能影响信息系统资源的不确定事件的过程。
指导和控制一个组织的风险的协调的活动。
4.1.4风险评估方法
结合公司在风险评估时投入的时间、人力、成本等各方面的因素,公司采用基本风险评估方法。
基本的风险评估方法是指应用直接和简易的方法达到基本的安全水平,就能满足组织及其业务环境的所有要求。
公司采用这种方法使得组织在识别和评估基本安全需求的基础上,通过建立相应的信息安全管理体系,获得对信息资产的基本保护。
4.1.5风险评估与风险管理的区分
风险管理是把整个组织内的风险降低到可接受水平的整个过程。
²是一个持续的周期,通常以一定的间隔重新开始来更新流程中各个地区阶段的数据
²是一个持续循环、不断上升的过程。
风险评估是确定组织面临的风险并确定其优先级的过程,是风险管理流程中最必须、最谨慎的一个过程。
²当潜在的与安全相关的事件在企业内发生时,如变动业务方法、发现新的漏洞等,组织都可能会启动风险评估。
4.2风险评估实施流程
总要求:
组织应根据整体业务活动和风险,建立、实施、运行、监视、评审、保持并改进文件化的ISMS。
ISO27001信息安全管理标准理解及内审员培训
培训热线:
0755-25936263、25936264李小姐 客服QQ:
1484093445、675978375
ISO27001信息安全管理标准理解及内审员培训 下载报名表 内训调查表
【课程描述】
ISO/IEC27001:
2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施,保障组织的信息安全。
本课程将详述ISO27001:
2005/ISO27002:
2005标准的每一个要求,指导如何管理信息安全风险,并附以大量的审核实战案例以作说明。
内部审核部分将以ISO19011:
2002为基础,教授学员如何策划和实施信息安全管理体系内部审核活动。
掌握该体系的具体执行程序和标准,并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。
【课程帮助】
如果你想对本课程有更深入的了解,请参考>>>德信诚ISO27001内审员相关资料手册
【课程对象】
信息安全管理人员,欲将ISO27001导入组织的人员,在ISO27001实施过程中承担内部审核工作的人员,有志于从事IT信息安全管理工作的人员。
【课程大纲】
第一部分:
ISO27001:
2005信息安全概述、标准条款讲解
◆信息安全概述:
信息及信息安全,CIA目标,信息安全需求来源,信息安全管理。
◆风险评估与管理:
风险管理要素,过程,定量与定性风险评估方法,风险消减。
◆ISO/IEC27001简介:
ISO27001标准发展历史、现状和主要内容,ISO27001标准认证。
◆信息安全管理实施细则:
从十个方面介绍ISO27001的各项控制目标和控制措施。
◆信息安全管理体系规范:
ISO/IEC27001-2005标准要求内容,PDCA管理模型,ISMS建设方法和过程。
第二部分:
ISO27001:
2005信息安全管理体系文件建立(ISO27001与ISO9001、ISO14001管理体系如何整合)
◆ISO27001与ISO9001、ISO14001的异同
◆ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件
◆如何将三体系整合降低公司的体系运行成本
◆ISO9001、ISO14001、ISO27001体系三合一整合案例分析
第三部分:
信息安全管理体系内部审核技巧和认证应对案例分析
◆ISO27001:
2005标准对内审员的新要求
◆信息安全管理体系认证现场审核的流程、技巧及沟通方法
◆如何应对认证公司的认证审核、监督审核、案例分析
◆考试>>>考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”
图风险评估实施流程
4.2.1风险评估准备
²确定风险评估的目标;(满足我公司业务持续发展在安全方面的需要及法律法规)
²确定风险评估的范围;(组织全部的信息及与信息处理相关的各类资产、管理机构)
²组建适当的评估管理与实施团队;(由管理层、相关业务骨干、IT技术人员等组成的风险评估小组)
²选择与组织相适应的具体的风险判断方法;(考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险判断方法)
²获得最高管理者对风险评估工作的支持。
(得到组织的最高管理者的支持、批准)
4.2.2资产识别
列出在信息安全管理体系范围内,与我公司内的业务环境、业务运营及信息相关的资产。
²资产分类;(人员、实体、软件、文件、数据、服务、无形、服务及其他资产)
²资产赋值(CIA:
对资产在机密性、完整性和可用性上的达成程度进行综合评定得出);
²资产重要性等级确定。
4.2.3威胁识别
使用与资产相关的通用威胁列表,检查并列出资产的威胁。
²威胁分类;
²威胁赋值;
4.2.4脆弱性识别
使用与资产相关的通用薄弱点列表,检查并列出资产的脆弱性。
²识别方法
²识别内容
²脆弱性赋值
4.2.5对现有安全控制的识别
识别并整理所有与资产相关联的、现有的或者已经作了计划的控制措施。
4.2.6风险分析
分析由上述评估产生的有关资产、威胁和脆弱性的信息,以实用的、简单的方法进行风险测量,计算出风险等级。
把识别分析出来的风险与风险判据进行比较,以判断特定的风险是否可接受或需采取其它措施处置。
风险分析的结果为具有不同等级的风险列表,并记录在《资产风险评估表》中。
4.2.7风险处理
对评定后的风险等级进行判定,确定是否能接受,如可接受,则按现有控制措施进行控制,如不可接受,则应选择采取新的安全控制措施,并对需要投入较长时间和较高费用的高风险制定风险处理计划,记录在《资产风险评估表》中,按风险处理计划进行处理后重新评价风险,直至风险降低或可接受为止。
²确定可接受的残余风险的水平;
²持续地评审威胁以及薄弱点;
²评审现有的安全控制方法;
²应用ISO/IEC27001中的其它安全控制方法;
²引入方针和程序。
4.2.8残余风险
根据风险评价结果,判断残余风险是否可接受,是,则实施风险控制;否,则制定风险处理计划。
4.2.9风险控制
根据风险处理结果,按照确定的风险控制措施和计划进行落实,必要时形成相关控制文件。
风险控制措施可根据控制费用与风险平衡的原则,参照以下方式进行选择,以降低风险:
²避免风险;
²转移风险;
²减少风险;
²减少薄弱点;
²减少威胁可能的影响程度;
²探测有害事故,对其做出反应并恢复。
4.3风险值的计算方法
4.3.1风险计算原理
风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))
其中,R:
表示安全风险计算函数;
A:
表示资产;
T:
表示威胁;
V:
表示脆弱性;
Ia:
表示安全事件所作用的资产重要程度;
Va:
表示脆弱性严重程度;
L:
表示威胁利用资产的脆弱性导致安全事件发生的可能性;
F:
表示安全事件发生后产生的损失。
4.3.2风险计算准则
资产价值计算方法:
资产价值=保密性赋值+完整性赋值+可用性赋值
风险值计算方法:
风险值=资产等级+威胁性赋值+脆弱性赋值
资产等级、风险等级评定方法:
见下表
表一:
保密性的要求评价准则
表二:
完整性的要求评价准则
表三:
可用性的要求评价准则
表四:
资产等级的评价准则
表五:
脆弱性被威胁利用后的严重性的评价准则
表六:
脆弱性被威胁利用后的严重性的评价准则
表七:
脆弱性被威胁利用后的严重性的评价准则
按风险值的评价准则计算出信息资产风险值后,按上记表七对应获得风险级别。
4.3.3风险结果判定
按风险值的评价准则计算出信息资产风险值后获得的风险级别,对风险进行判定。
4.3.4风险评估的时机
正常情况下每年进行一次全面的风险评估复查,对风险评估结果尤其是采取的控制措施进行适当的评审。
遇有特殊情况应该及时对组织风险进行再评估。
在以下情况下,应及时对组织风险进行重新评估:
²当组织新增信息资产时;
²当系统发生重大变更时;
²发生严重信息安全事故时;
²组织认为有必要时。
5相关支持性文件
无
6相关记录
《资产风险评估表》
更多免费资料下载请进:
好好学习社区
升级会员 