由 猿小六 风险评估是通过分析信息、信息系统和处理设施的威胁、影响和漏洞以及它们发生的可能性来识别风险的过程。选择风险评估方法是建立 ISMS 的重要内容之一。
为了满足 ISO/IEC 27001 的要求,你需要定义并记录一种风险评估方法,然后使用它来评估对已识别信息资产的风险,做出关于哪些风险是不可容忍的,因此需要降低的决策,并通过仔细考虑的政策、程序和控制来管理剩余风险。
ISO/IEC 27001 没有规定你应该使用的风险评估;但是,它规定你必须使用一个方法来完成以下任务:
- 基于机密性、完整性和可用性级别评估风险。
- 设定目标,将风险降低到可接受的水平
- 确定接受风险的标准
- 评估风险处理方案
一些风险评估方法提供了一个矩阵,定义了机密性、完整性和可用性的级别,并就何时以及如何应用这些级别提供了指导,如下表所示:
| 风险级别 |
低
|
中
|
高
|
| 机密性 确保只有那些被授权访问的人才能访问信息。 |
未经授权的信息披露可能会对组织运作、组织资产或个人产生有限的不利影响。 | 未经授权的信息披露可能会对组织运营、组织资产或个人产生严重的不利影响。 | 未经授权的信息披露可能会对组织运营、组织资产或个人产生严重或灾难性的不利影响。 |
| 完整性 确保信息和处理方法的准确性和完整性。 |
未经授权对信息的修改或破坏可能会对组织运作、组织资产或个人产生有限的不利影响。 | 未经授权对信息的修改或破坏可能会对组织运营、组织资产或个人产生严重的不利影响。 | 未经授权对信息的修改或破坏可能会对组织运营、组织资产或个人产生严重或灾难性不利影响。 |
| 可用性 确保授权用户在需要时能够访问信息和关联资产。 |
信息或信息系统的访问或使用中断可能会对组织运作、组织资产或个人产生有限的不利影响。 | 信息或信息系统的访问或使用中断可能会对组织运作、组织资产或个人产生严重的不利影响。 | 信息或信息系统的访问或使用中断可能会对组织运作、组织资产或个人产生严重或灾难性的不利影响。 |
您可以选择许多风险评估方法,例如在您的行业中流行的那些方法。例如,如果你的公司从事石油行业,你可能会发现与该行业相关的风险评估方法。
输入
如果你不熟悉风险评估方法,你可能需要参考风险评估的方法:
- ISO/IEC 13335(信息和通信技术安全管理)
- NIST SP 800-30(信息技术系统风险管理指南) http://csrc.nist.gov/publications/nistpubs/
- 针对组织所在行业的风险评估方法。
输出
当您完成此步骤后,您应该拥有一份说明您的组织将如何评估风险的文档,包括:
- 组织信息安全风险管理的方法
- 信息安全风险评估标准和所需的保证程度
案例
该示例为定义风险评估方法的风险评估文档提供了一个可能的大纲。
目录
- 介绍
- 准备
- 范围和边界
- 安全目标和安全需求
- 可接受的风险
- 主要漏洞描述
- 主要威胁描述
- 剩余风险
- 不确定性分析
- 假设
- 外部依赖关系
- 改进计划
- 控制的有效性
- 计划控制
- 剩余风险评估
- 关键和定义
- 风险值颜色量表
- 关键术语(如资产、风险、威胁、漏洞、信息、数据、控制)的定义