本文目录

5 定义风险评估的方法


风险评估是通过分析信息、信息系统和处理设施的威胁、影响和漏洞以及它们发生的可能性来识别风险的过程。选择风险评估方法是建立 ISMS 的重要内容之一。

为了满足 ISO/IEC 27001 的要求,你需要定义并记录一种风险评估方法,然后使用它来评估对已识别信息资产的风险,做出关于哪些风险是不可容忍的,因此需要降低的决策,并通过仔细考虑的政策、程序和控制来管理剩余风险。

ISO/IEC 27001 没有规定你应该使用的风险评估;但是,它规定你必须使用一个方法来完成以下任务:

  • 基于机密性、完整性和可用性级别评估风险。
  • 设定目标,将风险降低到可接受的水平
  • 确定接受风险的标准
  • 评估风险处理方案

一些风险评估方法提供了一个矩阵,定义了机密性、完整性和可用性的级别,并就何时以及如何应用这些级别提供了指导,如下表所示:

风险级别
机密性
确保只有那些被授权访问的人才能访问信息。
未经授权的信息披露可能会对组织运作、组织资产或个人产生有限的不利影响。未经授权的信息披露可能会对组织运营、组织资产或个人产生严重的不利影响。未经授权的信息披露可能会对组织运营、组织资产或个人产生严重或灾难性的不利影响。
完整性
确保信息和处理方法的准确性和完整性。
未经授权对信息的修改或破坏可能会对组织运作、组织资产或个人产生有限的不利影响。未经授权对信息的修改或破坏可能会对组织运营、组织资产或个人产生严重的不利影响。未经授权对信息的修改或破坏可能会对组织运营、组织资产或个人产生严重或灾难性不利影响。
可用性
确保授权用户在需要时能够访问信息和关联资产。
信息或信息系统的访问或使用中断可能会对组织运作、组织资产或个人产生有限的不利影响。信息或信息系统的访问或使用中断可能会对组织运作、组织资产或个人产生严重的不利影响。信息或信息系统的访问或使用中断可能会对组织运作、组织资产或个人产生严重或灾难性的不利影响。


您可以选择许多风险评估方法,例如在您的行业中流行的那些方法。例如,如果你的公司从事石油行业,你可能会发现与该行业相关的风险评估方法。

输入

如果你不熟悉风险评估方法,你可能需要参考风险评估的方法:

  • ISO/IEC 13335(信息和通信技术安全管理)
  • NIST SP 800-30(信息技术系统风险管理指南) http://csrc.nist.gov/publications/nistpubs/
  • 针对组织所在行业的风险评估方法。

输出

当您完成此步骤后,您应该拥有一份说明您的组织将如何评估风险的文档,包括:

  • 组织信息安全风险管理的方法
  • 信息安全风险评估标准和所需的保证程度

案例

该示例为定义风险评估方法的风险评估文档提供了一个可能的大纲。

目录

  • 介绍
  • 准备
    • 范围和边界
    • 安全目标和安全需求
    • 可接受的风险
      • 主要漏洞描述
      • 主要威胁描述
      • 剩余风险
  • 不确定性分析
    • 假设
    • 外部依赖关系
  • 改进计划
    • 控制的有效性
    • 计划控制
    • 剩余风险评估
  • 关键和定义
    • 风险值颜色量表
    • 关键术语(如资产、风险、威胁、漏洞、信息、数据、控制)的定义


最近更新于 2022-05-22 猿小六2022-05-21 发布, 已阅 278 次。