客服热线:
手机版
二维码
ISO27001认证以风险为中心的信息安全风险的构成要素
ISO27001认证以风险为中心的信息安全风险的构成要素
ISO/IEC13335 是国际标准组织发布的《IT信息安全管理指南》,是1个信息安全管理方面的指导性标准。其中ISO/IEC13335-1:2002《信息安全管理和计划的概念和模型》,以风险为中心,明确了资产、威胁、脆弱性、影响、风险、防护措施、剩余风险为信息安全风险的要素,并描述了要素的相互关系。
(1)风险要素
① 资产
资产是组织成功的关键信息或资源,是信息安全保护的主要对象。它包含物理硬件、软件、产品生产和服务能力、人员和其它无形资产。
② 威胁
威 胁是潜在的能导致信息安全风险事件并对组织以及资产造成损害的活动。它能够通过IT系统或者服务,直接或间接地作用于信息系统,并导致非授权破坏、泄露、 修改、损坏、不可用的损失。威胁必须利用资产固有的脆弱性才能完成对资产的损害,它可能来自人为的或非人为的、可能是故意或无意的、可能是来自环境的威 胁。
③ 脆弱性
脆弱性是资产在与其相关的物理环境、组织、策略、人员、管理、监控、硬件、软件和信息方面所固有的弱点。脆弱性是最有可能被威胁利用并造成对组织信息系统和业务目标的损害。
④ 影响
影响是风险事件发生,对资产造成的后果,使一定资产或信息系统的机密性、完整性、可用性、不可否认、可审计性、真实性和可靠性遭到破坏。
包含直接和非直接的影响,例如:金融损失、市场份额损失或形象损失。
⑤ 风险
风险是一定威胁利用资产脆弱性造成组织损失或破坏的潜在程度。它是由风险事件发生的可能性和它的影响来决定。任何资产、威胁、脆弱性和安全防护措施的转变都能对风险产生重要的影响。及时检测或明确信息系统以及环境的转变,采取适当的措施,能够降低风险。
⑥ 安全防护措施
安全防护措施是抵抗威胁、减少脆弱性、限制风险事件影响、检测风险事件和恢复的安全实践、策略和机制。有效的安全是在资产的多个层面提供安全防护措施,来预防、阻止、检测、限制、纠正、恢复、监视安全事件。
在物理环境、技术环境、人员和管理实施安全防护,是保证信息安全的基本要求。
⑦ 残余风险
风险不可能完全消除,有些风险由于安全成本问题,在满足组织安全需求的前提下,成为残余的风险。
⑧ 其它要素
(2)风险要素关系
风险要素之间存在着多种关系,ISO/IEC13335-1,以风险为中心,清晰标明了资产面临的安全风险与其它风险因素之间的关系,如下图。
ISO/IEC 13335 风险要素关系
① 支撑组织业务运行的关键资产,假如对资产的依赖程度越大,在攻击者利用脆弱性发动威胁时,面临着非授权暴露、修改、否认信息、信息服务不可用或损坏的风险也越大,对组织资产和业务造成负面影响,因此引出安全保护需求;
② 威胁利用脆弱性作用于关键资产,共同引发风险,威胁越多风险越大,风险的存在导出安全保护需求;
③ 脆弱性可能暴露资产价值,资产具有的弱点越多,风险越大,风险的存在导出未被满足的安全保护需求;
④ 安全保护需求可通过安全防护措施得以满足。
⑤ 安全防护措施的实施,能够抵御威胁,减少脆弱性,降低风险。
ISO27001认证运行时须注意的细节
ISO27001认证运行时须注意的细节
ISO27001认证运行时须注意的细节:
信息安全管理体系文件编制完成以后,组织应按照文件的控制要求进行审 核与批准,并发布实施,至此,信息安全管理体系将进入运行阶段。体系运行初期通常称为试运行期或磨合期,在此期间体系运行的目的是要在实践中检验体系的充分性、适用性和有效性。在体系运行初期,组织应加强运作力度,通过实施其手册、程序和各种作业 指导性文件等一系列体系文件,充分发挥体系本身的各项功能,及时发现体系策划本身存在的问题,找出问题根源,采取纠正措施,纠正各种不符合,并按照更改控制程序要求对体系予以更改,以达到进1步完善信息安全管理体系的目的。
有针对性 地宣贯信息安全管理体系文件。
体系文件的培训工作是体系运行的首要任务,培训工作的质量直接影响体系运行的结 果。组织应根据培训工作规划的安排并按照培训程序的要求对全体员工实施培训。通过培训使全体员工认识到新建立或完善的信息安全管理体系是对过去信息安全管理体系的变革,是为了向国际先进的信息安全管理标准接轨,要适应这种变革和新管理体系的运行, 就必须认真学习、贯彻信息安全管理体系文件。
实践是检验真理的唯一标准。
体系文件通过试运行 必然会出现一些问题,全体员工应将实践中出现的问题和改进意见如实反馈给有关部门,以便采取纠正措施。
将体系 试运行中暴露出的问题,如体系设计不周、项目不全等进行协调、改进。
信息安全管理体系的运行涉及组织体系范围 的各个部门,在运行过程中,各项活动往往不可避免的发生偏离标准的现象,因此,组织应按照严密、协调、高效、精简、统一的原则,建立信息反馈与信息安全协调机制对异常信息反馈和处理,对出现的问题加以改进,并保证体系的持续正常运行。
加强有关体系运行信息的管理,不仅是信息安全管理体系试运行本身的必须,也是保证试运行成功的关键。
所有与 信息安全管理体系活动有关的人员都应按体系文件要求,做好信息安全的信息收集、分析、传递、反馈、处理和归档等工作。
信息安全体系文件属于组织的信息资产,包含有关组织的全部安全管理等敏感信息,组织应按照信息分类的原则对其进行分类、进行密级标注并实行严格的安全控制,未经授权不得随意复制或借阅.
