全网最全之ISO27001风险评估实施流程
全网最全之ISO27001风险评估实施流程
随着信息安全威胁日益复杂化,企业需要建立一套科学的风险评估体系来保障信息资产的安全。本文将详细介绍ISO27001标准下的风险评估实施流程,包括环境构建、风险识别、风险分析、风险评价和风险处置等关键环节,帮助企业建立完善的信息安全风险管理体系。
第一章:风险评估概念
名词定义:
- 风险:在信息安全领域,风险(Risk),就是指信息遭受损坏并给企业带来负面影响的潜在可能性。
- 风险评估(Risk Assessment):包括风险识别、风险分析和风险评价在内的全部过程。
- 风险管理(Risk Management):就是以可接受的代价、识别、控制、减少或消除可能影响信息的安全风险的过程。
风险的来源:
风险评估的作用
风险管理的原则
第二章:风险评估的实施步骤
1. 风险评估过程
根据ISO31000或者ISO27005标准进行风险评估实施过程的对标,并通过环境构建、风险识别、风险分析、风险评价进行整个风险评估的过程,具体如下图:
2. 风险评估过程-环境构建
环境构建:建立组织,明确风险评估目标、界定风险管理应该考虑的外部和内部参数、并设置风险管理过程的范围和风险准则。
主要任务:
- 确定风险评估的范围及对象
- 制定组织的风险接受准则
评估目标
信息资产:任何对组织具有价值的包含信息的东西,包括计算机硬件、通讯设施、数据库、文件信息、软件、信息服务和人员等、所有这些资产都需要妥善保护
风险准则
评价风险重要程度的依据:
- 体现了组织的风险承受度、反映组织的价值观、目标和资源;
- 风险准则直接或者间接反映了法律和法规要求或其他需要组织遵循的要求;
- 风险准则应当与组织的风险管理方针一致。
3. 风险评估过程-风险识别
风险识别:
风险源
单独或联合具有内在的潜在引起危险的因素
风险源数据库:
- 提供风险依据,风险源的标准来源于ISO/IEC 27001中的114个控制措施
风险识别表
通过访谈、调查问卷、现场检查的方式来评估各类资产的管控现状,并将调研得到的信息汇总成为风险识别表
4. 风险评估过程-风险分析
风险分析:系统的运用相关信息来确认风险的来源并对风险进行估计:
说明:
风险分析要考虑导致风险的原因和风险源,风险事件的正面和负面的后果及其发生的可能性。影响后果和可能性的因素、不同风险及其风险源的相互关系以及风险的其他特征,还要考虑现有的管控措施及其效果和效率
风险分析的目的
风险计算
风险评估表
风险评估表虽然作为工具,但是市面上的风险评估表的模板比较老,还有一些05年的版本,所以不大适用新标准,由于新模板是个人根据经验编写的属于重要信息不便公开;
5. 风险评估过程-风险评价
风险评价:将评估后的风险与风险准则对比,来决定风险严重的程度;
目的:
- 在风险分析结果的基础上进行决策,对其中需要处置的风险进行优先处置;
- 与组织确定的风险准则进行对照,以决定风险的水平并确定控制风险的优先顺序。经过风险评价,确定该风险是可以接受还是需要进行处理(分别采用风险规避、风险消减、风险转移或风险接受等措施)
6. 风险评估过程-风险处置
风险处置决策:对不同等级的风险,依照风险准则的要求制定不同的处置策略;
风险处置方法
风险处置工具
FYI
剩余风险
剩余风险处置
以上为风险评估整个流程,虽然有相应的方法论,但是要想实施落地一个风险评估需要长时间的项目积累和专业知识来支撑。