ISO27000系列标准相关知识,ISO27000信息安全风险评估FAQ-企业易

ISO27000系列标准相关知识

信息是组织的血液，存在的方式各异。能够是打印，手写，也能够是电子，演示和口述的。当今商业竞争日趋激烈，来源于不同渠道的信息，威胁到信息的一致性。它们来自内部，外部，意外的，还可能是恶意的。随着信息储存，发送新技术的广泛使用，我们面临的各种风险也在增高。信息安全越来越重要！信息安全不是有1个终端防火墙，或找1个24小时提供信息安全服务的公司就能够达到的。它必须全面的综合管理。信息安全管理体系的引入，能够协调各个方面信息管理，使管理更为有效。信息安全管理体系是系统的对组织敏感信息及信息资产进行管理，涉及到人，程序和信息科技(IT)系统。必须建立广泛的信息安全方针。保证安全性，公正性。适用组织内部和顾客。信息安全管理体系ISMS正成为世界上管理体系标准销售增长量最大的产品。

信息安全管理体系（Information security management systems，简称ISMS）（即ISO/IEC 27000系列）是目前国际信息安全管理标准研究的重点。

ISO27000系列共包含10个标准，当前已经发布和在研究的有6个，分别为：

1、ISO/IEC 27000《信息安全管理体系基础和词汇》；

2、ISO/IEC 27001：2005《信息安全管理体系要求》；

3、ISO/IEC 17799：2005《信息安全管理实用规则》（2007年4月后，编号将改为27002）；

4、ISO/IEC 27003《信息安全管理体系实施指南》；

5、ISO/IEC 27004《信息安全管理测量》；

6、ISO/IEC 27005《信息安全风险管理》。

一、什么叫信息安全？像其它重要业务资产一样，信息也是对组织业务至关重要的一种资产，因此必须加以适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中（也可参考关于信息系统和网络的安全的OECD指南）。信息能够以多种形式存在。它能够打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在胶片上或用语言表达。无论信息以什么形式存在，用哪种方法存储或共享，都应对它进行适当地保护。信息安全是保护信息免受各种威胁的损害，以确保业务连续性，业务风险最小化，投资回报和商业机遇最大化。信息安全是通过实施一组合适的控制措施而达到的，包含策略、过程、规程、组织结构以及软件和硬件功能。在必须时需建立、实施、监视、评审和改进这些控制措施，以确保满足该组织的特定安全和业务目标。这个过程应与其它业务管理过程联合进行。

二、为何必须信息安全？信息以及支持过程、系统和网络都是重要的业务资产。定义、实现、保持和改进信息安全对保持竞争优势、现金周转、赢利、守法和商业形象可能是至关重要的。各组织以及信息系统和网络面临来自各个方面的安全威胁，包含计算机辅助欺诈、间谍活动、恶意破坏、毁坏行为、火灾或洪水。诸如恶意代码、计算机黑客捣乱和拒绝服务攻击等导致破坏的安全威胁，已经变得更加普遍、更有野心和日益复杂。信息安全对于公共和专用两部分的业务以及保护关键基础设施是非常重要的。在这两部分中信息安全都将作为1个使动者，例如实现电子政务或电子商务，避免或减少相关风险。公共网络和专用网络的互连、信息资源的共享都增加了实现访问控制的难度。分布式计算的趋势也削弱了集中的、专门控制的有效性。许多信息系统并没有被设计成是安全的。通过技术手段可获得的安全性是有限的，应该通过适当的管理和规程给予支持。明确什么控制措施要实施到位必须仔细规划并注意细节。信息安全管理至少必须该组织内的所有员工参与，还可能要求利益相关人、供应商、第三方、顾客或其它外部团体的参与。外部组织的顾问、专家建议可能也是必须的。

三、怎样建立安全要求组织识别出其安全要求是非常重要的，安全要求有3个主要来源：

1、1个来源是在考虑组织整体业务战略和目标的情况下，评估该组织的风险所获得的。通过风险评估，识别资产受到的威胁，评价易受威胁利用的脆弱性和威胁发生的可能性，估计潜在的影响。

2、另1个来源是组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同要求，以及他们的社会文化环境。

3、第3个来源是组织开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。

四、评估安全风险安全要求是通过对安全风险的系统评估予以识别的。用于控制措施的支出必须针对可能由安全故障导致的业务损害加以平衡。风险评估的结果将协助指导和决定适当的管理行动、管理信息安全风险的优先级以及实现所选择的用以防范这些风险的控制措施。风险评估应定期进行，以应对可能影响风险评估结果的任何转变。

五、选择控制措施一旦安全要求和风险已被识别并已做出风险处理决定，则应选择并实现合适的控制措施，以确保风险降低到可接受的级别。控制措施能够从《信息安全管理适用规则》或其它控制措施集合中选择，或者当合适时设计新的控制措施以满足特定需求。安全控制措施的选择依赖于组织所做出的决定，该决定是基于组织所应用的风险接受准则、风险处理选项和通用的风险管理方法，同时还要遵守所有相关的国家和国际法律法规。《信息安全管理适用规则》中的某些控制措施可被当作信息安全管理的指导原则，并且可用于大多数组织。

六、信息安全起点，许多控制措施被认为是实现信息安全的良好起点。它们或是基于重要的法律要求，或者被认为是信息安全的常用惯例。

今日通过对《ISO27000系列标准相关知识》的学习，相信你对认证有更好的认识。假如要办理相关认证，请联络我们吧。

ISO27000信息安全风险评估FAQ

为何要进行信息安全风险评估？

通过风险评估，你能够知道组织范围内存在什么重要的信息资产、信息处理设施以及面临的威胁，发现技术和管理上的脆弱点，综合评估现有综合资产的风险状况。

什么叫信息安全风险评估？

风险评估：对信息及信息载体、应用环境等各方面风险进行辨识和分析的过程，是对威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险以及大小的过程。

风险评估为管理层明确具体的安全策略，以及在“成本-效益”平衡基础上做决策服务；风险控制措施为组织实施信息安全的改进提供指导。

信息安全风险评估的实施的主体是什么？

风险评估可分为自评估和检查评估两大类。自评估是由被评估信息系统的拥有者依靠自身的力量，对其自身的信息系统进行的风险评估活动。检查评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的，旨在依据已经颁布的法规或标准进行的，具有强制意味的检查活动，是通过行政手段加强信息安全的重要措施。

检查评估应该是具有一定资质的风险评估服务机构实施的。自评估能够在信息安全风险评估服务机构的咨询、服务、培训下，由系统所有者和评估服务机构共同完成。

信息安全风险评估的政策依据及标准依据？

国家信息化领导小组《关于加强信息安全保障工作的意见》(中办发[2003]27号文件)将信息安全风险评估作为一项重要的举措。国信办2005年5号文率先在北京、上海、黑龙江、云南等地，以及银行、税务、电力3个行业进行试点，根据试点经验，各省市建立信息安全风险评估管理规范。

国信办标准草案《信息安全风险评估指南》、《信息安全风险管理指南》

NIST SP800-30 《Risk Management Guide for Information Technology Systems》

信息安全风险评估包含哪几个主要实施阶段？

风险评估能够分为资产识别、重要资产赋值、威胁分析、脆弱性识别、风险计算、风险控制措施提出等实施阶段。

信息安全风险评估的主要内容及方法？

信息安全风险评估的实施主要有以下内容：

（1）资产识别

（2）资产的安全属性赋值及权重计算

（3）威胁分析

（4）薄弱点分析

（5）威胁发生可能性及影响分析

（6）风险计算

（7）风险处理计划制定

风险评估是一项综合的系统工程，既涉及到技术，又涉及到管理。风险评估过程中既必须采用技术的检测手段，又必须进行综合的归纳、总结和分析方法。

风险评估中资产价值的判断、威胁判断、安全事件造成影响的判断标准都必须根据被评估具体情况，与被评估方共同明确。

信息安全风险评估是否会影响系统的业务正常运行？

除针对服务器的漏洞扫描、诊断及渗透性测试外，风险评估不会对系统的业务运行造成影响。即使是渗透性测试，也仅仅是为了验证漏洞存在给系统可能造成的后果（如文件窃取、控制修改关键程序/进程等），而不是以破坏系统为目的。评估人员在执行渗透性测试前，会将详细的渗透测试方案与用户交流，包含渗透测试对象、测试强度、可能后果、提前备份等要求，并经用户认可后方能实施。

信息安全风险评估的结果形式是什么？

信息安全风险评估在评估过程中将生成一系列的风险评估操作记录，包含：重要资产列表、脆弱性汇总表、资产威胁识别表、资产威胁风险系数表、信息资产综合风险值表等，最后将生成三份评估结果：

脆弱性评估报告：以资产为核心，描述该资产存在的薄弱点。

风险评估报告：反映了风险评估整个过程、方法、内容及风险结果。

风险处理计划：针对识别的风险，提出具体的控制目标和控制措施。

信息安全风险评估的周期有多长？

信息安全风险评估没有明确的时间周期，通常两年一次进行定期的评估，但当组织新增信息资产、系统发生重大变更、业务流程发生重大转变、发生严重信息安全事故等情况下应进行风险评估。

除此之外，对系统规划、扩建时也必须进行风险评估，为安全需求、安全策略的制定提供依据。

信息安全风险评估的收费标准？

根据评估对象的不同而不同。风险评估的对象能够是：单个独立的信息系统、支持组织业务的整体信息处理环境、整个组织范围。信息安全风险评估的费用主要依据以下几个方面进行核算：

网络规模

联网单位或顾客端抽样占比