|
|
ISO27001风险评估的要求?
国际标准ISO/IEC 27001:2005对风险评估提出了明确的要求,具体为:
4.2.1 建立ISMS
c) 定义组织风险评估方法。
1) 识别适用于ISMS和已经识别的业务信息安全、法律和法规要求的风险评估方法。
2) 建立接受风险的准则并识别风险的可接受等级 [见5.1f)]。
选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
注:风险评估具有不同的方法。在ISO/IEC TR 13335-3《信息技术—IT安全管理指南—IT安全管理技术》中描述了风险评估方法的例子。
d) 识别风险:
1) 识别ISMS控制范围内的资产以及这些资产的所有者2;
2) 识别对这些资产的威胁;
3) 识别可能被威胁利用的脆弱性;
4) 识别保密性、完整性和可用性损失可能对资产造成的影响。
e) 分析并评价风险:
1) 评估安全失效可能导致的组织业务影响,考虑因资产保密性、完整性、可用性的损失而导致的后果;
2) 根据资产的主要威胁、脆弱性、有关的影响以及已经实施的安全控制,评估安全失效发生的现实可能性;
3) 评价风险的等级;
4) 根据4.2.1c)2)已建立的准则,判断风险是否可接受或需要处理。
f) 识别并评价风险处理的选择:
可能包括的活动有:
1) 应用适当的控制;
2) 如果能证明风险满足组织的方针和风险接受准则,有意的、客观的接受风险;[见4.2.1C)2)]
3) 避免风险;
4) 将有关的业务风险转移到其他方,例如保险公司、供方。
g) 为风险的处理选择控制目标与控制措施。
应选择并实施控制目标和控制措施,以满足风险评估和风险处理过程所识别的要求。选择时,应考虑接受风险的准则[见4.2.1 C)2)]以及法律法规和合同要求。
从附录A中选择的控制目标和控制措施应作为这一过程的一部分,并满足上述要求。
附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施,组织也可能需要选择另外的控制目标和控制措施。
注:附录A包含了组织内一般要用到的全面的控制目标和控制措施的列表。本标准用户可将附录A作为选择控制措施的出发点,以确保不会遗漏重要的控制可选措施。
h) 获得管理者对建议的剩余风险的批准。
|
|