ISO27001認證的風險評估是什么？風險評估的依據(jù)？

更新日期：2017-05-11 16:21:14 已瀏覽：4636次

什么是ISO27001認證-信息安全風險評估？

風險評估：對信息及信息載體、應用環(huán)境等各方面風險進行辨識和分析的過程，是對威脅、影響、脆弱性及三者發(fā)生的可能性的評估。它是確認安全風險及其大小的過程。
風險評估為管理層確定具體的安全策略，以及在“成本-效益”平衡基礎上做決策服務；風險控制措施為組織實施信息安全的改進提供指導。

ISO27001認證-信息安全風險評估的實施的主體是什么？

風險評估可分為自評估和檢查評估兩大類。自評估是由被評估信息系統(tǒng)的擁有者依靠自身的力量，對其自身的信息系統(tǒng)進行的風險評估活動。檢查評估則通常是被評估信息系統(tǒng)的擁有者的上級主管機關或業(yè)務主管機關發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標準進行的，具有強制意味的檢查活動，是通過行政手段加強信息安全的重要措施。
檢查評估應該是具有一定資質(zhì)的風險評估服務機構實施的。自評估可以在信息安全風險評估服務機構的咨詢、服務、培訓下，由系統(tǒng)所有者和評估服務機構共同完成。

ISO27001認證-信息安全風險評估的政策依據(jù)及標準依據(jù)？

國家信息化領導小組《關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號文件)將信息安全風險評估作為一項重要的舉措。國信辦2005年5號文率先在北京、上海、黑龍江、云南等地，以及銀行、稅務、電力三個行業(yè)進行試點，根據(jù)試點經(jīng)驗，各省市建立信息安全風險評估管理制度。
國信辦標準草案《信息安全風險評估指南》、《信息安全風險管理指南》
NIST SP800-30 《Risk Management Guide for Information Technology Systems》

ISO27001認證-信息安全風險評估包括哪幾個主要實施階段？

風險評估可以分為資產(chǎn)識別、重要資產(chǎn)賦值、威脅分析、脆弱性識別、風險計算、風險控制措施提出等實施階段。

分享：

上一篇： ISO27001 對您的信息安全管理體系進行認證有什么好處？

下一篇： ISO27001認證收費標準