|
 |
|
|
| |
| 软件企业如何构建ISO27001认证的风险评估 |
| |
发布者:admin
发布时间:2014/11/25 13:49:00 阅读:5742次 【字体:大
中 小】 |
软件企业根据专用网络信息评估的基本流程和方法,对专用网络系统进行信息安全风险评估是确定信息安全策略、构建ISO27001信息安全管理体系框架的前提。其主要内容包括资产识别与重要性评估、风险分析等。
一、资产识别与重要性评估
在专用网络系统中,资产主要有3 类:硬件资产、软件资产、文档和数据资产。其中硬件资产又包括网络设备(如网络交换机、路由器、集线器、网络连接线等),终端与服务设备(如专用网络终端、服务器等)和辅助设备(如供电设备等)。软件资产包括系统软件(如操作系统、数据库系统等),工具软件(如办公软件、系统开发软件、病毒防护软件等)和应用软件。文档和数据资产包括程序文件,业务文件(如合同、协议、信件等),系统文件(如系统日志、密码、用户属性文件、系统使用说明等)和数据库(包括人力资源数据库、会计数据库、生产管理系统数据等)。
资产重要性是指某项资产对于系统信息安全的重要性和敏感度。为了确保资产重要性评估,应该针对专用网络系统实际应用情况制定专门的资产重要性评估标准。例如,机密性、完整性和可用性是信息安全3 个不同方面的特性,可以将它们作为评估专用网络信息资产重要性的指标,对每项资产赋予重要性评估值。
二、风险分析
评价风险发生的可能性的过程如下:首先,从自然、人为和意外3 个方面识别各系统可能面对的威胁;接着,从硬件、软件、数据、人员等方面识别系统具有的脆弱性,在完成威胁及脆弱性识别后,对威胁利用脆弱性可能造成的后果和影响进行描述;最后,根据现状描述当前已经采取的管理、技术控制措施,得出最终的风险发生的可能性。 |
| |
| |
|
| |
|
 |
|
