亚洲精品无码永久中文字幕,国产人成视频在线观看,国产亚洲精品岁国产微拍精品,8888四色奇米在线观看

ISO27000認證前需要做安全評估，那么怎么做需要做哪些準備工作，ISO27001前期又需要注意些什么呢？下面就和小編一起來(lái)看看吧??！

一、風(fēng)險評估前準備

1、行政部牽頭成立風(fēng)險評估小組，小組成員至少應該包含：信息安全管理體系負責部門(mén)的成員、信息安全重要責任部門(mén)的成員。

2、風(fēng)險評估小組制定信息安全風(fēng)險評估計劃，下發(fā)各部門(mén)內審員。

3、必要時(shí)應對各部門(mén)內審員進(jìn)行風(fēng)險評估相關(guān)知識和表格填寫(xiě)的培訓。

二、信息資產(chǎn)的識別

資產(chǎn)范圍包括：

1)數據文檔資產(chǎn)：客戶(hù)和公司數據，各種介質(zhì)的信息文件包括紙質(zhì)文件。

2)軟件資產(chǎn)：應用軟件、系統軟件、開(kāi)發(fā)工具和適用程序。

3)硬件資產(chǎn)：計算機設備、通訊設備、可移動(dòng)介質(zhì)和其他設備。

4)服務(wù)：培訓服務(wù)、租賃服務(wù)、公用設施（能源、電力）。

5)人員：人員的資格、技能和經(jīng)驗。 

6)無(wú)形資產(chǎn)：組織的聲譽(yù)、商標、形象。

三、識別威脅可以利用的脆弱性 

這一步是評估容易被攻擊者(或威脅源)攻破(或破壞)的薄弱點(diǎn)，包括基礎設施中的弱點(diǎn)、控制中的弱點(diǎn)、員工意識上的弱點(diǎn)、系統中的弱點(diǎn)和設計上的弱點(diǎn)等。包括針對資產(chǎn)所關(guān)聯(lián)的物理環(huán)境、組織、人員、管理、硬件、軟件、程序、代碼、通信設備等多種可能被威脅源所利用并可能導致危害的，由資產(chǎn)自身特性導致的弱點(diǎn)。系統脆弱性往往需要與對應的威脅相結合時(shí)才會(huì )對系統的安全造成危害。

一個(gè)沒(méi)有對應威脅的脆弱性一般不會(huì )造成實(shí)在的風(fēng)險，可以不采取相應的防護措施，但是有必要密切監視這種潛在的風(fēng)險。注意，脆弱性不僅是由于最初購置或制造時(shí)的原因產(chǎn)生的，資產(chǎn)的應用方法、目的的不同、防護措施的不足都可能造成脆弱性。

四、評估威脅發(fā)生的可能性

容易度描述的是威脅利用脆弱性而可能發(fā)生的容易程度。這里所說(shuō)的發(fā)生容易度與具體的信息系統沒(méi)有關(guān)系。當與控制措施結合之后才形成影響的發(fā)生可能性。

五、識別與分析控目前控制手段的有效性

控制措施可以減少風(fēng)險發(fā)生可能性或者減輕發(fā)生后的影響。因此，必須識別出控制措施并對其有效性進(jìn)行評估。根據控制措施的有效性對控制措施賦值，以下簡(jiǎn)稱(chēng)控制度。公司將控制度的等級劃分為1-5（5為基本無(wú)效）。每一個(gè)等級都要對應相應的有效性系數之后參加風(fēng)險的計算。

六、分析資產(chǎn)在威脅脆弱性下發(fā)生的影響度

影響是指威脅對脆弱性一次成功攻擊所產(chǎn)生的負面影響。

影響等級（以下簡(jiǎn)稱(chēng)影響度）是資產(chǎn)重要度等級和暴露等級的乘積。

確定影響度的定義，本公司采取以下定義和計算方式

影響度=（資產(chǎn)重要度等級*暴露等級）*20%

由資產(chǎn)重要度等級值（1-5）與暴露等級（1-5）相乘，并乘以系數20%取整后，那么影響度等級為：1-5。