久久综合综合久久97色_欧美午夜一区二区三区_亚洲av最新高清每天更新_中天电影网手机在线视频_人妻无码高清在线播放

ISO27000認(rèn)證前需要做安全評估，那么怎么做需要做哪些準(zhǔn)備工作，ISO27001前期又需要注意些什么呢？下面就和小編一起來看看吧！！

一、風(fēng)險(xiǎn)評估前準(zhǔn)備

1、行政部牽頭成立風(fēng)險(xiǎn)評估小組，小組成員至少應(yīng)該包含：信息安全管理體系負(fù)責(zé)部門的成員、信息安全重要責(zé)任部門的成員。

2、風(fēng)險(xiǎn)評估小組制定信息安全風(fēng)險(xiǎn)評估計(jì)劃，下發(fā)各部門內(nèi)審員。

3、必要時(shí)應(yīng)對各部門內(nèi)審員進(jìn)行風(fēng)險(xiǎn)評估相關(guān)知識和表格填寫的培訓(xùn)。

二、信息資產(chǎn)的識別

資產(chǎn)范圍包括：

1)數(shù)據(jù)文檔資產(chǎn)：客戶和公司數(shù)據(jù)，各種介質(zhì)的信息文件包括紙質(zhì)文件。

2)軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和適用程序。

3)硬件資產(chǎn)：計(jì)算機(jī)設(shè)備、通訊設(shè)備、可移動介質(zhì)和其他設(shè)備。

4)服務(wù)：培訓(xùn)服務(wù)、租賃服務(wù)、公用設(shè)施（能源、電力）。

5)人員：人員的資格、技能和經(jīng)驗(yàn)。 

6)無形資產(chǎn)：組織的聲譽(yù)、商標(biāo)、形象。

三、識別威脅可以利用的脆弱性 

這一步是評估容易被攻擊者(或威脅源)攻破(或破壞)的薄弱點(diǎn)，包括基礎(chǔ)設(shè)施中的弱點(diǎn)、控制中的弱點(diǎn)、員工意識上的弱點(diǎn)、系統(tǒng)中的弱點(diǎn)和設(shè)計(jì)上的弱點(diǎn)等。包括針對資產(chǎn)所關(guān)聯(lián)的物理環(huán)境、組織、人員、管理、硬件、軟件、程序、代碼、通信設(shè)備等多種可能被威脅源所利用并可能導(dǎo)致危害的，由資產(chǎn)自身特性導(dǎo)致的弱點(diǎn)。系統(tǒng)脆弱性往往需要與對應(yīng)的威脅相結(jié)合時(shí)才會對系統(tǒng)的安全造成危害。

一個(gè)沒有對應(yīng)威脅的脆弱性一般不會造成實(shí)在的風(fēng)險(xiǎn)，可以不采取相應(yīng)的防護(hù)措施，但是有必要密切監(jiān)視這種潛在的風(fēng)險(xiǎn)。注意，脆弱性不僅是由于最初購置或制造時(shí)的原因產(chǎn)生的，資產(chǎn)的應(yīng)用方法、目的的不同、防護(hù)措施的不足都可能造成脆弱性。

四、評估威脅發(fā)生的可能性

容易度描述的是威脅利用脆弱性而可能發(fā)生的容易程度。這里所說的發(fā)生容易度與具體的信息系統(tǒng)沒有關(guān)系。當(dāng)與控制措施結(jié)合之后才形成影響的發(fā)生可能性。

五、識別與分析控目前控制手段的有效性

控制措施可以減少風(fēng)險(xiǎn)發(fā)生可能性或者減輕發(fā)生后的影響。因此，必須識別出控制措施并對其有效性進(jìn)行評估。根據(jù)控制措施的有效性對控制措施賦值，以下簡稱控制度。公司將控制度的等級劃分為1-5（5為基本無效）。每一個(gè)等級都要對應(yīng)相應(yīng)的有效性系數(shù)之后參加風(fēng)險(xiǎn)的計(jì)算。

六、分析資產(chǎn)在威脅脆弱性下發(fā)生的影響度

影響是指威脅對脆弱性一次成功攻擊所產(chǎn)生的負(fù)面影響。

影響等級（以下簡稱影響度）是資產(chǎn)重要度等級和暴露等級的乘積。

確定影響度的定義，本公司采取以下定義和計(jì)算方式

影響度=（資產(chǎn)重要度等級*暴露等級）*20%

由資產(chǎn)重要度等級值（1-5）與暴露等級（1-5）相乘，并乘以系數(shù)20%取整后，那么影響度等級為：1-5。