你的位置:首页 > 技术支持

iso27001信息安全风险评估

2017-11-18 9:27:50点击:

iso27001信息安全风险评估


信息安全风险评估是iso27001信息安全管理最核心的方法,信息安全风险评估的对象是信息 系统或组织。

信息安全风险评估的基本思路是在信息安全事件发生之前,通过iso27001有效的手段对组织面临的信息安全风险进行识别、分析,并在此基础上选取相应的安全措施,将组织面临的 信息安全风险控制在可接受的范围内,以此达到保护信息系统安全的目的。


iso27001信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、 传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱点导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。狭义的风险评估包括:评估前准备、 资产识别与评估、威胁识别与评估、脆弱点识别与评估、当前安全措施的识别与评估、风险分析以及根据风险评估的结果选取适当的安全措施以降低风险的过程。
资产、威胁、脆弱点是iso27001信息安全风险的基本要素,是信息安全风险存在的基本条件,缺 一不可。除此之外,与信息安全风险有关的要素还包括:安全措施、安全需求、影响等。 ISCVIEC 13335-1对它们之间的关系描述如图1-6所示,主要表现在:
威胁利用脆弱点将导致安全风险的产生;
资产具有价值,并对组织业务有一定影响,资产价值及影响越大则其面临的风险 越大;
安全措施能抵御威胁、减少脆弱点,因而能减小安全风险;
风险的存在及对风险的认识引出保护需求,保护需求通过安全措施来满足或 实现。