软件介绍（Pdf版）下载

功能介绍

1.资产管理

软件预置二级通用的信息安全相关资产分类，允许对分类进行个性化的增、删、修改。对识别的具体资产，能够详细描述其属性、场所、管理、使用、备份、关联等信息，并对其中的信息资产进行分类管理。

处于实施成本和可行性的考虑，任何组织都不能对全部的资产采取相同的严格保护，而只应重点保护重要的资产。本软件采取多维（6维）、分级（6级）计算模型，对资产的重要度进行量化评估，自动分析资产的重要度级别。资产识别及评估过程符合ISO27002对资产管理的要求。

相关知识：

ISO27002第七章 资产管理：

“组织应该识别所有资产并将这些资产的重要性进行文件化。资产清单应该包括用于灾难恢复的所有信息，包括：资产的类型、形式、场所、备份信息、许可信息以及商业价值等。”

“信息应该根据其价值、法律要求、敏感度以及对组织的关键程度进行分类。”

2.风险评估

识别风险

用户可以利用本软件工具逐一识别对应资产的威胁和薄弱点，分析风险发生的可能性，以及风险一旦发生后对资产的安全特性（保密性、完整性、可用性、法规符合性）造成的损失，并能够输入已采取的控制措施及有效性。

相关知识：

ISO27001第4.2.1 建立信息安全管理体系:

d) 识别风险：

识别ISMS控制范围内的资产以及这些资产的所有者；

识别对这些资产的威胁；

识别可能被威胁利用的脆弱性；

识别保密性、完整性和可用性损失可能对资产造成的影响。

分析评价风险

软件内置14维、6级风险计算和评价模型。通过分析风险发生的可能性、发生风险后对保密性、完整性、可用性、法规符合性的影响程度，以及已采取的控制措施的有效性，按照风险模型自动完成对风险的计算和评级。

相关知识：

ISO27001第4.2.1 建立信息安全管理体系：

e) 分析并评价风险：

评估安全失效可能导致的组织业务影响，考虑因资产保密性、完整性、可用性的损失而导致的后果；

根据资产的主要威胁、脆弱性、有关的影响以及已经实施的安全控制，评估安全失效发生的现实可能性；

评价风险的等级；

根据4.2.1c）2）已建立的准则，判断风险是否可接受或需要处理。

3.处理风险

选择风险处理方法

对评估出的高风险，按照软件的提示，评价并选择处理风险的方法。

相关知识：

ISO27001第4.2.1 建立信息安全管理体系：

f) 识别并评价风险处理的选择：

可能包括的活动有：

应用适当的控制；

如果能证明风险满足组织的方针和风险接受准则，有意的、客观的接受风险；[见4.2.1C)2）]

避免风险；

将有关的业务风险转移到其他方，例如保险公司、供方。

选择控制措施

对应每项风险和风险处理方法，选择处理风险的具体控制措施，每项控制措施与ISO27002的133项控制措施建立关联。

相关知识：

ISO27001第4.2.1 建立信息安全管理体系：

g) 为风险的处理选择控制目标与控制措施。

应选择并实施控制目标和控制措施，以满足风险评估和风险处理过程所识别的要求。选择时，应考虑接受风险的准则[见4.2.1 C）2）]以及法律法规和合同要求。

从附录A中选择的控制目标和控制措施应作为这一过程的一部分，并满足上述要求。

附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施，组织也可能需要选择另外的控制目标和控制措施。

制定风险处理计划

将选择的风险控制措施落实到风险处理计划，选择执行计划的责任部门，时间安排，以及与计划相关的文件。

相关知识：

ISO27001 第4.2.2 实施并运作ISMS：

组织应：

制定风险处理计划阐明为控制信息安全风险确定的适当的管理活动、职责以及优先权(见5)。

为了达到所确定的控制目标，实施风险处理计划，包括考虑资金以及角色和职责的分配。

实施4.2.1g) 中所选的控制，以满足控制目标。

4.检查计划的完成状况

检查各责任部门是否按计划实施了风险处理计划。

5.评估剩余风险

风险处理计划实施后，评定风险降低的程度，判断剩余风险是否可接受。如剩余风险仍不可接受，可继续增加新的控制措施。

6.识别法律法规

识别适用的法律、法规、上级要求、合作协议和合同，提取其中的信息安全要求，并转化为相应风险处理计划。

7.识别业务要求

识别组织自身对信息安全的业务要求，并转化为相应的风险处理计划。

8.自动生成文件和报告

资产清单

自动生成资产清单、重要资产清单。可按资产的全部属性进行查找、筛选和排序。允许将结果导出Excel文件。

风险处理计划

自动生成风险处理计划清单。可按资产、风险等级、处理方式、处理措施、资产所有者、措施实施责任部门、计划时间、关联业务或系统等方式查看、分析风险处理计划。可按资产的属性、风险评估的过程参数或结果对风险处理计划进行查找、筛选和排序。允许将结果导出Excel文件。

SOA

自动生成SOA（适用性声明）。

相关知识：

ISO27001第4.2.1 建立信息安全管理体系：

j) 准备适用性声明。

4.2.1g)中选择的控制目标和控制措施，以及选择的原因；

当前实施的控制目标和控制措施[见4.2.1e）2)]；

附录A中控制目标和控制措施的删减，以及删减的理由。

风险评估报告

自动生成风险评估报告，系统性的对资产、风险、风险处理方法、风险处理措施和剩余风险进行全面统计和分析。通过风险评估报告，可以概括性的了解一个组织的信息资产构成和分布、风险分布趋势、风险控制措施概况，便于决策者从宏观分析信息安全风险，采取相应的风险管理方法。允许将结果导出Word文件。

9.ITBPM

内置ITBPM的全部保护模型。资产类别完全按照ITBPM的7大类，62子类设置，类别允许用户增、删、修改。 全部资产类别与ITBPM的威胁（5大类，370项）和控制措施（6大类，856项）建立关联，用户仅需点选即可完成风险识别和确定控制措施。而且，软件将ITBMP保护模型与ISO27002建立了关联，当选择了ITBPM的控制措施后，自动判断对应的ISO27002条款。通过内置的ITBPM基线保护模型，能够避免由于风险评估人员IT知识和风险概念不足导致的风险识别不全的问题。

虽然内置了ITBPM，用户仍能够独立于ITBPM进行更深层次的风险评估。

相关知识：

德国的信息安全标准ITBPM（Information Technology Basepne Protection Manual, IT基线保护手册 )，是每个组织分析信息资产威胁与建立系统安全机制的重要依据。不同于信息安全管理系统标准ISO27001和 ISO27002，ITBPM 以信息资产为主轴，说明信息资产可能遭遇的威胁有那些，需要采取那些安全防护措施，并据以建置信息系统安全防护体系。

ITBPM比ISO27001和ISO27002更加详细地对威胁和安全措施加以了分类，具体地开列威胁清单和安全措施清单，故ITBPM 是信息系统安全防护体系的建置指南，依照其分类方式，将信息资产分层次后再分成若干模块，每一模块有一系列建议的标准安全防护措施，依据建议的安全防护措施建置安全机制，即可符合基本的安全要求。若有较高的安全需求，可以再进行进一步的风险评估工作，并据以增加必要的安全防护措施。ITBPM 的主要特点归纳如下：

1.层次化：

为了能有效管理，ITBPM 将信息资产分为五个层次，其优点包括降低安全复杂度、避免重复投资、易于分清责任、各层的修改及扩充容易，不会影响其它层次。

2.模块化：

除了将资产分层次管理外，每一层次再区分模块，分别将资产对应到不同的安全领域运用上，每一模块具有相对应的威胁与防护措施。

3.预期威胁与防护措施：

与其它信息安全标准不同的是，ITBPM 对预期威胁有较为详细的描述，并针对威胁部分列出其相对应的防护措施，以利组织运用与实施，此外亦针对信息资产预期威胁与防护的急迫性赋予处理优先等级。

10.其他功能

文件管理

可以分门别类对全部ISMS文件、计划和记录进行管理，既可以直接写入文件内容，也可以将各种格式（如：doc,pdf,txt,xls，jpj，gif等）的文件导入。

沟通交流

在风险评估和风险管理过程中，参与风险评估的部门和人员可利用该功能进行沟通，包括：工作计划、进度安排、评分标准、检查反馈、问题提问与答复、文件传递、文件审核修改等。

资产及风险监控

对风险评估过程中资产估值、风险评估、控制措施、剩余风险的活动进行漏项检查。

资产和风险复制功能

在风险评估过程中对相似的资产、风险进行复制，方便数据的输入。

系统设置：

进行权限、机构、流程设置和评估模型调整。

依据标准

Info-Riskmanager参考并符合下列国际标准：

ISO/IEC 27001 信息安全管理体系—要求

ISO/IEC 27002 信息安全管理实践规则

ITBPM IT基线保护手册

ISO/IEC 13335-3 IT安全管理指南—IT安全管理技术

ISO/IEC 27005 信息安全风险管理

BS7799-3 信息安全风险管理指南

使用要求

1.软件要求

2.硬件要求　

注：不能使用虚拟机。