正规ISO认证,国家认监委可查,一个月左右下证,包辅导包通过,不过退款 
ISO9001质量认证平台
深圳iso认证全包式服务
辅导-认证-包过-低价
 李老师:15220227293

          0755-21033850

ISO9001 quality certification platform
在线客服
 工作时间
周一至周五 :8:30-17:30
周六至周日 :9:00-17:00
 联系方式
QQ:1801949861
电话::15220227293
iso认证详情

ISO27001信息安全管理体系认证的风险评估和体系构建

发表时间:2021-05-09 08:36作者:咨询15220227293

ISO27001信息安全管理体系认证的风险评估和体系构建


ISO27001信息安全管理体系认证ISMS建设过程中,信息安全风险评估是其最主要的技术路线和ISMS建设效果评估的依据。在信息安全领域,信息安全风险评估也形成了诸多国际标准和国内标准。本文所涉及的内容主要是《信息安全风险评估规范》等国家标准。以下就相关内容做一个简要描述。


23.png

信息安全风险评估包括四个主要方面的内容,即资产识别、威胁识别、脆弱性识别和风险评估。它们之间的关系如图

             

风险评估的最主要环节是资产识别、威胁识别和脆弱性识别。下面就其含义作一个简介:

①资产识别

安全的目的始终都是保障组织业务的正常运行。因此,资产识别的过程就是将组织的业务工作这个抽象的概念逐步分解成定性、定量的资产安全性分析,或者说将组织的业务安全映射成资产的安全,使得我们能够科学的把握组织的业务安全需求及其变化。资产识别包括资产分类和资产赋值两个环节。

②威胁识别

与资产识别相类似,威胁识别分为威胁分类和威胁赋值两个环节。威胁识别的方法形象地讲就是“植树、剪枝、统计”,见图2.4:

                 

③脆弱性识别

与资产识别和威胁识别略有不同,脆弱性识别分为脆弱性发现、脆弱性分类、脆弱性验证和脆弱性赋值等四个环节。表2.1是脆弱性分类表

类型

识别对象

识别内容

技术脆弱性

物理环境

从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别

网络结构

从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别

系统软件

从补丁安装、物理防护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别

应用中间件

从协议安全、交易完整性、数据完整性等方面进行识别

应用系统

从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别

管理脆弱性

技术管理

从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别

组织管理

从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别

在对一个信息系统进行了资产识别、威胁识别和脆弱性识别的基础上,人们可以对信息系统的综合风险等级进行赋值,见表2.2:

等级

标识

描述

5

很高

一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣

4

一但发生会产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害

3

中等

一但发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大

2

一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决

1

很低

一旦发生造成的影响几乎不存在,通过简单的措施就能弥补

信息安全管理体系(ISMS)是一个系统化、程序化和文件化的管理体系,属于风险管理的范畴,体系的建立需要基于系统、全面、科学的安全风险评估。ISM体现预防控制为主的思想,强调遵守国家有关信息安全的法律法规,强调全过程和动态控制,本着控制费用与风险平衡的原则,合理选择安全控制方式保护组织所拥有的关键信息资产,确保信息的保密性、完整性和可用性,从而保持组织的竞争优势和业务运作的持续性。
  构建信息安全管理体系(ISMS)不是一蹴而就的,也不是每个企业都使用一个统一的模板,不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过以下几个主要步骤:
  1、信息安全管理体系策划与准备
  策划与准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研,以及人力资源的配置与管理。
  2、确定信息安全管理体系适用的范围
  信息安全管理体系的范围就是需要重点进行管理的安全领域。组织需要根据自己的实际情况,可以在整个组织范围内、也可以在个别部门或领域内实施。在本阶段的工作,应将组织划分成不同的信息安全控制领域,这样做易于组织对有不同需求的领域进行适当的信息安全管理。在定义适用范围时,应重点考虑组织的适用环境、适用人员、现有IT技术、现有信息资产等。
  3、现状调查与风险评估
  依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行调研和评价,以及评估信息资产面临的威胁以及导致安全事件发生的可能性,并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响。


21.png



  4、建立信息安全管理框架
  建立信息安全管理体系要规划和建立一个合理的信息安全管理框架,要从整体和全局的视角,从信息系统的所有层面进行整体安全建设,从信息系统本身出发,根据业务性质、组织特征、信息资产状况和技术条件,建立信息资产清单,进行风险分析、需求分析和选择安全控制,准备适用性声明等步骤,从而建立安全体系并提出安全解决方案。
  5、信息安全管理体系文件编写
  建立并保持一个文件化的信息安全管理体系是ISO/IEC27001:2005标准的总体要求,编写信息安全管理体系文件是建立信息安全管理体系的基础工作,也是一个组织实现风险控制、评价和改进信息安全管理体系、实现持续改进不可少的依据。在信息安全管理体系建立的文件中应该包含有:安全方针文档、适用范围文档、风险评估文档、实施与控制文档、适用性声明文档。
  6、信息安全管理体系的运行与改进
  信息安全管理体系文件编制完成以后,组织应按照文件的控制要求进行审核与批准并发布实施,至此,信息安全管理体系将进入运行阶段。在此期间,组织应加强运作力度,充分发挥体系本身的各项功能,及时发现体系策划中存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。
  7、信息安全管理体系审核
  体系审核是为获得审核证据,对体系进行客观的评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的检查过程。体系审核包括内部审核和外部审核(第三方审核)。内部审核一般以组织名义进行,可作为组织自我合格检查的基础;外部审核由外部独立的组织进行,可以提供符合要求ISO27001的认证或注册。
  至于应采取哪些控制方式则需要周密计划,并注意控制细节。信息安全管理需要组织中的所有雇员的参与,比如为了防止组织外的第三方人员非法进入组织的办公区域获取组织的技术机密,除物理控制外,还需要组织全体人员参与,加强控制。此外还需要供应商,顾客或股东的参与,需要组织以外的专家建议。信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。


ABUIABACGAAghdmh7wUopKiLsgYw7gU46AI.jpg

会员登录
登录
其他帐号登录:
留言
回到顶部