ISO27001:2013风险评估的主要内容及方法?认证周期?-深圳市九域企业管理顾问有限公司
联系我们

总部:深圳市九域企业管理顾问有限公司
地址:深圳市龙华区民治街道中梅路光浩国际中心A座

热线:18925267765
固话:0755-27802751
手机:18902471138

Q Q:2374852124
邮箱:gmi@gmicc.net

ISO27001认证

ISO27001:2013风险评估的主要内容及方法?认证周期?

更新日期:2017-05-11 16:11:51  已浏览:4385次

ISO27001:2013信息安全风险评估的主要内容及方法?

ISO27001:2013信息安全风险评估的实施主要有以下内容:
(1)资产识别
(2)资产的安全属性赋值及权重计算
(3)威胁分析
(4)薄弱点分析
(5)威胁发生可能性及影响分析
(6)风险计算
(7)风险处理计划制定

ISO27001:2013风险评估是一项综合的系统工程,既涉及到技术,又涉及到管理。风险评估过程中既需要采用技术的检测手段,又需要进行综合的归纳、总结和分析方法。

ISO27001:2013风险评估中资产价值的判断、威胁判断、安全事件造成影响的判断标准都需要根据被评估实际情况,与被评估方共同确定。


ISO27001:2013信息安全风险评估是否会影响系统的业务正常运行?


除针对服务器的漏洞扫描、诊断及渗透性测试外,风险评估不会对系统的业务运行造成影响。即使是渗透性测试,也仅仅是为了验证漏洞存在给系统可能造成的后果(如文件窃取、控制修改关键程序/进程等),而不是以破坏系统为目的。评估人员在执行渗透性测试前,会将详细的渗透测试方案与用户交流,包括渗透测试对象、测试强度、可能后果、提前备份等要求,并经用户认可后方能实施。


ISO27001:2013信息安全风险评估的结果形式是什么?

信息安全风险评估在评估过程中将生成一系列的风险评估操作记录,包括:重要资产列表、脆弱性汇总表、资产威胁识别表、资产威胁风险系数表、信息资产综合风险值表等,最后将生成三份评估结果:
脆弱性评估报告:以资产为核心,描述该资产存在的薄弱点。
风险评估报告:反映了风险评估整个过程、方法、内容及风险结果。
风险处理计划:针对识别的风险,提出具体的控制目标和控制措施。

ISO27001:2013信息安全风险评估的周期有多长

信息安全风险评估没有确定的时间周期,一般两年一次进行定期的评估,但当组织新增信息资产、系统发生重大变更、业务流程发生重大变化、发生严重信息安全事故等情况下应进行风险评估。
此外,对系统规划、扩建时也需要进行风险评估,为安全需求、安全策略的制定提供依据。

分享:
0
下一篇:

深圳九域bsci认证,sedex验厂,rba验厂,sa8000认证,BSCI验厂辅导五大承诺:承诺结果、承诺预算、承诺服务、承诺保密、承诺高效
相关资讯推荐 Information
深圳bsci验厂,rba验厂,sedex验厂,sa8000认证辅导费用咨询
深圳九域企业管理(GMI)拥有18年BSCI验厂辅导经验,需要了解BSCI验厂费用可以联系我们:18688975252
电话咨询
QQ咨询
在线咨询
扫一扫
学在九域

给您一份客户满意的验厂报告 186-8897-5252