进行ISO27001认证信息安全风险评估前需要做好的准
发布日期:2021-03-08 浏览次数:
ISO27001认证的信息安全风险评估是实施风险评估的前提。为了确保评估过程的可控性和评估结果的客观性,应在实施信息安全风险评估之前为信息安全风险评估进行充分的准备和计划活动。接下来就由ISO27001信息安全认证申请的小编来讲解一下吧,希望能够对大家有所帮助,具体内容如下:
1、确定信息安全风险评估的目标
在ISO27001信息安全风险评估的准备阶段,应明确风险评估的目标,为信息安全风险评估的过程提供指导。信息安全要求是组织为了确保其业务正常有效运行所必须满足的信息安全要求。通过分析组织必须遵守的相关法律和法规,可以确定组织在业务流程中的机密性,完整性和信息安全性的可用性,以确定信息安全风险评估的目标。
2、确定信息安全风险评估范围
已建立的ISO27001信息安全风险评估可能仅涵盖组织总资产的一部分,评估范围应明确。范围的更重要描述是评估边界的描述。评估范围可以是单个系统或多个相关系统。更好的方法是根据物理和逻辑边界来解释风险评估的范围。
3、建立适当的评估管理和实施团队
在评估进行评估的组织的准备阶段,应建立专门的评估小组以对组织的信息安全风险进行特定评估。 该团队应包括评估团队负责人,信息安全风险评估人员,技术专家,以及来自管理,业务,人力资源,IT系统和用户的代表。
4、进行系统调查
系统调查是确定评估内容的过程。风险评估小组应进行适当的系统调查,以选择信息安全风险评估的基础和方法,并为进行评估奠定基础。调查内容应至少包括以下内容:业务战略和管理系统,关键业务功能和要求,网络结构和网络环境(包括内部和外部连接),系统边界,关键硬件和软件:数据和信息,系统和数据机密性,支持和使用系统的人员。
5、确定信息安全风险评估的依据和方法
ISO27001信息安全风险评估的基础是现有的国际或国家信息安全标准,组织行业机构的业务系统要求和系统,组织信息系统互连单元的安全要求以及组织的实时性或性能的信息系统本身要求等。根据信息安全评估风险的基础,综合考虑信息安全K风险评估评估者的目的,范围,时间,效果和质量,选择一种特定的风险计算方法并确定根据组织的业务实施对系统安全运行的要求。相关的评估和判断依据,使其可以适应组织的环境和安全要求。
6、制定信息安全风险评估计划
ISO27001信息安全风险评估计划的内容通常包括:团队组织:包括对团队成员,组织结构,角色,职责等的评估。信息安全风险评估各个阶段的工作计划,包括工作内容,工作方式,工作结果等,时间表和项目实施时间表。
7、获得高层管理人员对信息安全风险评估工作的支持
ISO27001信息安全风险评估需要相关财务和人力资源的支持。管理层必须表达对评估活动的支持,对资源分配做出承诺,并赋予信息安全风险评估小组足够的权利。信息安全风险评估活动可以顺利进行。
以上七点就是有关进行ISO27001认证信息安全风险评估前需要做好的准备规划的全部内容,感谢您的理解与支持!
