ISO27001認證信息安全風險評估，是實施風險評估的前提，為了保證評估過程的可控性以及評估結果的客觀性，在信息安全風險評估實施前應進行充分的準備。

(1)確定評估目標

明確風險評估的目標，為信息安全風險評估的過程提供導向。信息安全需求是一個組織為保證其業(yè)務正常、有效運轉而必須達到的信息安全要求，通過分析組織必須符合的相關法律法規(guī)、組織在業(yè)務流程中對信息安全等的保密性、完整性、可用性等方面的需求，來確定信息安全險評估的目標。-質量管理體系

(2)確定評估范圍

既定的ISO27001信息安全風險評估可能只針對組織全部資產的一個子集，評估范圍必須明確。描述范圍最重要的是對于評估邊界的描述。評估的范圍可能是單個系統(tǒng)或者是多個關聯(lián)的系統(tǒng)比較好的方法是按照物理邊界和邏輯邊界來描述某次風險評估的范圍。-質量管理體系

(3)組建評估團隊

成立專門的評估團隊負責具體執(zhí)行組織的信息安全風險評估。團隊成員應包括評估單位領導、評估專家、技術專家，還應該包括管理層、業(yè)務部門、人力資源、IT系統(tǒng)和來自用戶的代表。

(4)進行系統(tǒng)調研

系統(tǒng)調研是確定被評估對象的過程。進行充分的系統(tǒng)調研是為信息安全風險評估依據和方法的選擇、評估內容的實施奠定基礎。調研內容至少應包括業(yè)務戰(zhàn)略及管理制度、主要的業(yè)務功能和要求；網絡結構與網絡環(huán)境，包括內部連接和外部連接、系統(tǒng)邊界；主要的硬件、軟件：數據和信息、統(tǒng)和數據的敏感性；支持和使用系統(tǒng)的人員。-質量管理體系

(5)確定評估依據和方法

評估依據包括現有國際或國家有關信息安全標準、組織的行業(yè)主管機關的業(yè)務系統(tǒng)的要求和制度、組織的信息系統(tǒng)互聯(lián)單位的安全要求、組織的信息系統(tǒng)本身的實時性或性能要求等。根據信息安全評估風險依據，綜合考慮信息安全評估的目的、范圍、時間、效果、評估人員素質等因素，選擇具體的風險計算方法，并依據組織業(yè)務實施對系統(tǒng)安全運行的需求，確定相關的評估剡斷依據，使之能夠與組織壞境和安全要求相適應。

(6)制定評估方案

評估方案的內容一般包括團隊組織（評估團隊成員、組織結構、角色、責任等）、工作計劃（各階段的工作內容、工作形式、工作成果等）、以及項目實施的時間進度安排等。

(7)獲得高管理者的支持-質量管理體系

因為評估需要財力和人力的支持，管理層必須表明對評估活動的支持，對資源調配做出承諾，并對信息安全風險評估小組賦予足夠的權利，信息安全風險評估活動才能順利進行。

在做好風險評估的準備工作之后，還需要對企業(yè)的當前的信息安全系統(tǒng)進行資產識別、威脅識別和脆弱性識別。值得一提的是，企業(yè)如果要保障評估過程順利實現并且風險評估結果真實有效，最重要的一點是要首先針對企業(yè)的信息安全管理工作制定一個風險評估策略。好的風險評估策略是風險評估模型是否設計成功的關鍵，同時，一個好的風險評估策略需要包括企業(yè)信息安全風險產生的起因以及進行風險評估操作的范圍和目的。

文章題目：ISO27001認證信息安全風險評估的七大要素
本文地址：http://m.newbst.com/hangye/iso/n14062.html

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)