ISO27001認證網(wǎng)絡(luò)信息安全風(fēng)險評價,是執(zhí)行風(fēng)險評價的前提條件,以便確保評定全過程的可操控性及其評定結(jié)果的普遍性����,在網(wǎng)絡(luò)信息安全風(fēng)險評價執(zhí)行前要開展充足的提前準(zhǔn)備。
(1)明確評定目標(biāo)明確風(fēng)險評價的總體目標(biāo)���,為網(wǎng)絡(luò)信息安全風(fēng)險評價的全過程出示導(dǎo)向性���。網(wǎng)絡(luò)信息安全要求是一個機構(gòu)為確保其業(yè)務(wù)流程一切正常、合理運行而務(wù)必做到的網(wǎng)絡(luò)信息安全規(guī)定����,根據(jù)剖析機構(gòu)務(wù)必合乎的有關(guān)相關(guān)法律法規(guī)、機構(gòu)在工作流程中對網(wǎng)絡(luò)信息安全等的安全性����、一致性、易用性等層面的要求�,來明確網(wǎng)絡(luò)信息安全險評定的總體目標(biāo)。
(2)明確評定范疇明確的ISO27001網(wǎng)絡(luò)信息安全風(fēng)險評價將會只對于機構(gòu)所有財產(chǎn)的一個非空子集����,評定范疇務(wù)必確立。敘述范疇最重要的是針對評定界限的敘述��。評定的范疇可能是單獨系統(tǒng)軟件或是是好幾個關(guān)系的系統(tǒng)軟件比較好的方式 是依照物理學(xué)界限和邏輯性界限來敘述一次風(fēng)險評價的范疇。
(3)建立評定精英團隊創(chuàng)立專業(yè)的評定精英團隊承擔(dān)實際實行機構(gòu)的網(wǎng)絡(luò)信息安全風(fēng)險評價����。精英團隊組員應(yīng)包含評定企業(yè)領(lǐng)導(dǎo)干部、評定權(quán)威專家���、技術(shù)專家����,還應(yīng)當(dāng)包含高管�����、各個部門��、人力資源管理����、IT系統(tǒng)和來源于客戶的意味著���。
(4)開展系統(tǒng)軟件調(diào)查系統(tǒng)軟件調(diào)查是明確被評定目標(biāo)的全過程��。開展充足的系統(tǒng)軟件調(diào)查是為網(wǎng)絡(luò)信息安全風(fēng)險評價根據(jù)和方式 的挑選���、評定內(nèi)容的執(zhí)行打下基礎(chǔ)��。調(diào)研內(nèi)容最少應(yīng)包含業(yè)務(wù)流程發(fā)展戰(zhàn)略及管理方案����、關(guān)鍵的業(yè)務(wù)流程作用和規(guī)定����;網(wǎng)絡(luò)架構(gòu)與網(wǎng)絡(luò)空間,包含內(nèi)部聯(lián)接和外界聯(lián)接��、系統(tǒng)軟件界限��;關(guān)鍵的硬件配置�����、手機軟件:數(shù)據(jù)信息和信息內(nèi)容�����、統(tǒng)和數(shù)據(jù)信息的敏感度�����;適用和應(yīng)用系統(tǒng)軟件的工作人員。
(5)明確評定根據(jù)和方式 評定根據(jù)包含目前國際性或相關(guān)法律法規(guī)網(wǎng)絡(luò)信息安全規(guī)范��、機構(gòu)的制造行業(yè)主管部門的業(yè)務(wù)管理系統(tǒng)的規(guī)定和規(guī)章制度����、機構(gòu)的信息管理系統(tǒng)互連企業(yè)的安全性規(guī)定、機構(gòu)的信息管理系統(tǒng)自身的實用性或特性規(guī)定等��。依據(jù)網(wǎng)絡(luò)信息安全評定風(fēng)險性根據(jù)��,綜合性考慮到網(wǎng)絡(luò)信息安全評定的目地����、范疇、時間���、實際效果����、評定員工素質(zhì)等要素���,挑選實際的風(fēng)險性計算方式,并根據(jù)機構(gòu)業(yè)務(wù)流程執(zhí)行對系統(tǒng)優(yōu)化運作的要求��,明確有關(guān)的評定剡斷根據(jù),使之可以與機構(gòu)環(huán)境和安全性規(guī)定相一致�。
(6)制訂評定計劃方案評定計劃方案的內(nèi)容一般包含精英團隊機構(gòu)(評定精英團隊組員、組織架構(gòu)�、人物角色、義務(wù)等)���、工作規(guī)劃(各環(huán)節(jié)的工作職責(zé)�、工作中方式���、工作成效等)��、及其項目實施的時間進度分配等����。
(7)得到最大管理人員的適用由于評定必須資金和人力資源的適用�����,高管務(wù)必說明對評定主題活動的適用����,對資源配制作出服務(wù)承諾,并對網(wǎng)絡(luò)信息安全風(fēng)險評價工作組授予充足的支配權(quán)�����,網(wǎng)絡(luò)信息安全風(fēng)險評價主題活動才可以順利開展。
在搞好風(fēng)險評價的準(zhǔn)備工作以后�����,還必須對公司的當(dāng)今的網(wǎng)絡(luò)信息安全系統(tǒng)軟件開展財產(chǎn)鑒別����、威協(xié)鑒別和易損性鑒別。值得一提的是���,公司假如要確保評定全過程如期完成而且風(fēng)險評價結(jié)果真實可信����,最重要的一點是要最先對于公司的網(wǎng)絡(luò)信息安全管理方面制訂一個風(fēng)險評價對策�����。好的風(fēng)險評價對策是風(fēng)險評價實體模型是不是設(shè)計方案取得成功的重要���,另外,一個好的風(fēng)險評價對策必須包含公司網(wǎng)絡(luò)信息安全風(fēng)險性造成的誘因及其開展風(fēng)險評價實際操作的范疇和目地��。
全國免費服務(wù)熱線400-128-6881
當(dāng)前位置:當(dāng)前位置:
微信公眾號
手機咨詢