信息安全软件
Info-Riskmanager(信息安全风险管理软件)V1.2
软件介绍(Pdf版)下载

一、Info-Riskmanager概述

使用Info-Riskmanager,可以方便、快捷、规范的完成ISO27001所规定的信息安全风险评估和风险管理过程,大幅度提高信息安全风险评估的效率和效果,降低实施ISO27001的综合成本,缩短贯标的周期。

Info-Riskmanager能够有效地保护风险评估数据和结果的安全,阻止对评估数据的复制,防止评估结果通过u盘、email、qq等方式泄漏。

Info-Riskmanager适用于各类机构,包括电力、通信、金融、证券、生产制造业、研究院所、IT服务、软件及软件外包、政府机关等。


二、Info-Riskmanager用途

1. Info-Riskmanager是专用于信息安全的风险管理软件,由科飞管理咨询公司和科飞管理软件公司共同研制,凝聚了科飞对ISO/IEC27001(BS7799)和ISO/IEC17799多年理论研究成果和实践经验。

2. Info-Riskmanager能辅助完成满足ISO27001和ISO17799要求的全部风险管理过程,降低建立信息安全管理体系的难度,大幅度提高风险评估的效率和效果。

3. Info-Riskmanager以科学的、量化的风险管理模型为基础,根据法律法规要求,顾客及合同的要求,以及组织自身发展要求所导致的信息安全需求对风险进行管理。

4. Info-Riskmanager处理的风险管理过程包括:资产识别、重要资产判断、风险识别、风险分析、风险评价、风险处理、选择控制目标和方式、评估剩余风险。

5. Info-Riskmanager能自动生成《资产识别表》、《重要资产清单》、《风险评估报告》、《风险处理计划》、《适用性声明(SoA)》等必备的文件。

6. Info-Riskmanager能不限次数的对同一资产连续进行风险评估(ISO27001要求风险评估每年至少进行一次,特殊情况随时评估,要“确保风险评估能产生可比较和可重复的结果” ),并分析信息资产的风险变化趋势。

7. Info-Riskmanager能方便快捷的查询出各种资产的风险评估情况,自动分析高风险的频率和范围,便于采取有效措施控制风险。

8. Info-Riskmanager通过权限的设置,可以降低由于风险评估结果的外泄引发的风险。

9. Info-Riskmanager还具有文件管理的功能,可以对信息安全管理体系文件进行管理。


三、依据标准

Info-Riskmanager参考并符合下列国际标准:

1.ISO/IEC 27001

2.ISO/IEC 27002(ISO/IEC 17799)

3.ISO/IEC 13335-3

4.ISO/IEC 27005

5.BS7799-3


四、风险评估和管理为什么需要Info-Riskmanager工具软件

按照ISO27001建立信息安全管理体系(ISMS)是一项系统工程,其核心基础工作就是风险评估和风险处理。由于风险分析、风险评价及风险处理、剩余风险评估等需要处理大量的数据,包括资产分类、资产属性描述、信息分类、资产价值评估、CIA分析、威胁识别、薄弱点识别、影响及发生的可能性分析、风险分类及评价、处理方式及控制措施选择等,还要根据这些评估要素进行风险分析,生成资产清单、重要资产清单、资产分布分析、SOA、风险处理计划、风险评估报告等有价值的信息和资料。而且评估要素随着评估过程、沟通过程、监视和评审过程、重复的评估过程而不断变化,需要不断的重复的进行大量的数据处理。这些海量数据,如果采用手工处理,会占用大量的人力时间,导致风险评估效果和效率低下。因此,借助于风险评估和风险管理工具或软件是非常必要的。


五、使用Info-Riskmanager的好处

过程完整,符合标准

Info-Riskmanager的风险评估和风险处理过程符合ISO27001等国际标准,可以引导使用者逐步完成全部过程,即使对风险评估理论和标准不熟悉,没有实践经验,也会顺利完成风险评估和风险处理的全部过程。

参数齐全,不会遗漏

由于Info-Riskmanager的设计过程中充分考虑了各个相关国际标准的要求,并结合大量的实践经验,将资产识别、风险评估和处理的需要的各种参数完整的设计到软件中, 使用者可以一次性输入,而且大部分参数已经内置数据,点击鼠标选择即可,避免数据遗漏不全。

自动计算,准确快速

由于内置了风险计算方法论,当参数输入后,Info-Riskmanager会立即根据方法论对风险进行自动计算,使用者会立即看到结果,能够随时对参数进行调整,保证结果的准确。

方法统一,结果可靠

由于过程、参数、方法论都内置在软件当中,不论使用者是谁,时间如何变化,过程、参数、方法论都会保持统一,所以Info-Riskmanager的风险评估和处理方法具有统一性和重复性,能保证处理结果的可比较性。满足ISO27001标准的要求:选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果(4.2.1. C)。

数据完整,查阅方便

按照ISO27001的要求,应定期进行风险评估,特殊情况下,随时进行风险评估。Info-Riskmanager支持对同一资产,多次进行风险评估,其参数和结果,全部保留在数据库中,便于对风险评估结果进行比较分析,发现风险变化的趋势和规律。

自动生成,即时可见

Info-Riskmanager能根据输入的各类参数, 立即自动生成各类表格和报告,包括:资产清单、重要资产清单、风险处理计划、 适用性声明(SoA)、风险评估报告等必备的文件。满足ISO27001的文件要求,方便使用者对风险的分析。

数据集中,安全保密

Info-Riskmanager的全部数据都集中保存在服务器的数据库中,使用者的终端计算机中没有任何数据,结合对使用者权限进行多重限制,能够防止风险评估结果被非预期的使用、盗取、泄密、传播和破坏。


六、适用范围

Info-Riskmanager适用于下列组织:

  • 希望全面了解自己在信息安全管理方面所面临风险的组织;
  • 希望采取有效措施降低信息安全所面临风险的组织;
  • 欲按照ISO/IEC27001建立信息安全管理体系的组织;
  • 欲取得ISO/IEC27001信息安全管理体系认证的组织;
  • 从事信息安全管理和ISO/IEC27001咨询的机构和咨询师。

    		•