iso27001认证标准6.1.2条款信息安全风险评估的原文:
组织应定义并应用风险评估过程,以
a)建立并保持信息安全风险准则,包括:
1)风险接受准则
2)执行信息安全风险评估的准则
b)确保重复性的信息安全风险评估可产生一致的、有效的和可比较的结果。
c)识别信息安全风险
1)应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性的相关风险;2)识别风险负责人
d)分析信息安全风险
1)评估612c)1)中所识别风险发生后将导致的潜在影响;
2)评估61.2c)1)中所识别风险发生的现实可能性3)确定风险级别
e)评价信息安全风险
1)将风险分析结果同6.1.2a)建立的风险准则进行比较;
2)为实施风险处置确定已分析风险的优先级
组织应保留信息安全风险评估过程的文件化信息
iso27001认证标准6.1.2条款信息安全风险评估的应用:
公司工程部根据实际情况,结合标准要求,制定了《信息安全风险管理程序》,包括了风险评估方法、风险接受的准则等。
a)风险识别
在已确定的信息安全管理体系范围内,公司按《信息安全风险管理程序》,对所有已识别的每一项资产按自身承载信息的保密性、完整性、可用性要求进行了量化赋值,使用合理的公式计算出资产的重要性;对在定义范围内的资产识别出其可能存在的风险,并形成风险清单。
b)风险分析
在识别出风险之后,应对风险实现后的影响进行描述,并根据已定义的规则对影响度赋值,对风险实现的可能性赋值;根据已定义的风险计算方法,对风险值进行计算。
c)风险评估
对比已经建立的风险准则,比较风险分析结果,判断风险为接受或需要处理,并将风险评估过程文档化。
请记住本站:iso认证机构网 http://www.iso.net.cn
