体系认证
联系方式
深圳市高创企业管理顾问有限公司
地址:中国广东省深圳市龙岗区布吉街道花园大厦2座2楼
联系电话:0755-28705569
手机:(sz)13603047386
(hy)13539107386
QQ:731792962
网址:http://www.gcglgw.com
邮箱:gkgwgl@163.com
地址:中国广东省深圳市龙岗区布吉街道花园大厦2座2楼
联系电话:0755-28705569
手机:(sz)13603047386
(hy)13539107386
QQ:731792962
网址:http://www.gcglgw.com
邮箱:gkgwgl@163.com
ISO27001/BS17799 信息安全管理体系
- 作者:
- 来源:
- 日期: 2016-02-26
- 浏览次数: 1486次
ISO/IEC 27001中并没有具体规定风险评估的方法,只是对评估过程作了相应的要求,标准要求应该采用适当的风险评估方法:
1)识别适合信息安全管理体系的、已识别的业务信息安全的和法律法规要求的风险评估方法。
2)制定接受风险的准则,识别可接受的风险级别。
选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。
风险评估应该识别对资产的威胁、可能被威胁利用的薄弱点、威胁发生对组织的影响和发生的可能性,还应该能够确定风险的优先等级,对风险进行分析和评价,如:
1)在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下,评估安全失误可能造成的对组织的影响。
2)评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实施的控制措施。
3)估计风险的级别。
4)确定风险是否可接受,或者是否需要使用所建立的接受风险的准则进行处理。
1)识别适合信息安全管理体系的、已识别的业务信息安全的和法律法规要求的风险评估方法。
2)制定接受风险的准则,识别可接受的风险级别。
选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。
风险评估应该识别对资产的威胁、可能被威胁利用的薄弱点、威胁发生对组织的影响和发生的可能性,还应该能够确定风险的优先等级,对风险进行分析和评价,如:
1)在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下,评估安全失误可能造成的对组织的影响。
2)评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实施的控制措施。
3)估计风险的级别。
4)确定风险是否可接受,或者是否需要使用所建立的接受风险的准则进行处理。
下一篇: ISO27001适用于哪些类型的组织?
