ISO27001认证信息安全风险评估，是实施风险评估的前提，为了保证评估过程的可控性以及评估结果的客观性，在信息安全风险评估实施前应进行充分的准备。

(1)确定评估目标

明确风险评估的目标，为信息安全风险评估的过程提供导向。信息安全需求是一个组织为保证其业务正常、有效运转而必须达到的信息安全要求，通过分析组织必须符合的相关法律法规、组织在业务流程中对信息安全等的保密性、完整性、可用性等方面的需求，来确定信息安全险评估的目标。-质量管理体系

(2)确定评估范围

既定的ISO27001信息安全风险评估可能只针对组织全部资产的一个子集，评估范围必须明确。描述范围最重要的是对于评估边界的描述。评估的范围可能是单个系统或者是多个关联的系统比较好的方法是按照物理边界和逻辑边界来描述某次风险评估的范围。-质量管理体系

(3)组建评估团队

成立专门的评估团队负责具体执行组织的信息安全风险评估。团队成员应包括评估单位领导、评估专家、技术专家，还应该包括管理层、业务部门、人力资源、IT系统和来自用户的代表。

(4)进行系统调研

系统调研是确定被评估对象的过程。进行充分的系统调研是为信息安全风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括业务战略及管理制度、主要的业务功能和要求；网络结构与网络环境，包括内部连接和外部连接、系统边界；主要的硬件、软件：数据和信息、统和数据的敏感性；支持和使用系统的人员。-质量管理体系

(5)确定评估依据和方法

评估依据包括现有国际或国家有关信息安全标准、组织的行业主管机关的业务系统的要求和制度、组织的信息系统互联单位的安全要求、组织的信息系统本身的实时性或性能要求等。根据信息安全评估风险依据，综合考虑信息安全评估的目的、范围、时间、效果、评估人员素质等因素，选择具体的风险计算方法，并依据组织业务实施对系统安全运行的需求，确定相关的评估剡断依据，使之能够与组织坏境和安全要求相适应。

(6)制定评估方案

评估方案的内容一般包括团队组织（评估团队成员、组织结构、角色、责任等）、工作计划（各阶段的工作内容、工作形式、工作成果等）、以及项目实施的时间进度安排等。

(7)获得高管理者的支持-质量管理体系

因为评估需要财力和人力的支持，管理层必须表明对评估活动的支持，对资源调配做出承诺，并对信息安全风险评估小组赋予足够的权利，信息安全风险评估活动才能顺利进行。

在做好风险评估的准备工作之后，还需要对企业的当前的信息安全系统进行资产识别、威胁识别和脆弱性识别。值得一提的是，企业如果要保障评估过程顺利实现并且风险评估结果真实有效，最重要的一点是要首先针对企业的信息安全管理工作制定一个风险评估策略。好的风险评估策略是风险评估模型是否设计成功的关键，同时，一个好的风险评估策略需要包括企业信息安全风险产生的起因以及进行风险评估操作的范围和目的。

文章题目：ISO27001认证信息安全风险评估的七大要素
本文地址：https://www.cdcxhl.com/hangye/iso/n14062.html

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联