妇女敕BBB搡BBBBBB搡,九色PORNY丨国产首页注册,亚洲精品无码一区二区三区在线高,狠狠色噜噜狠狠狠狠97首创麻豆

ISO27000認證前需要做安全評估，那么怎么做需要做哪些準備工作，ISO27001前期又需要注意些什么呢？下面就和小編一起來看看吧?。?/span>

一、風(fēng)險評估前準備

1、行政部牽頭成立風(fēng)險評估小組，小組成員至少應(yīng)該包含：信息安全管理體系負責(zé)部門的成員、信息安全重要責(zé)任部門的成員。

2、風(fēng)險評估小組制定信息安全風(fēng)險評估計劃，下發(fā)各部門內(nèi)審員。

3、必要時應(yīng)對各部門內(nèi)審員進行風(fēng)險評估相關(guān)知識和表格填寫的培訓(xùn)。

二、信息資產(chǎn)的識別

資產(chǎn)范圍包括：

1)數(shù)據(jù)文檔資產(chǎn)：客戶和公司數(shù)據(jù)，各種介質(zhì)的信息文件包括紙質(zhì)文件。

2)軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和適用程序。

3)硬件資產(chǎn)：計算機設(shè)備、通訊設(shè)備、可移動介質(zhì)和其他設(shè)備。

4)服務(wù)：培訓(xùn)服務(wù)、租賃服務(wù)、公用設(shè)施（能源、電力）。

5)人員：人員的資格、技能和經(jīng)驗。 

6)無形資產(chǎn)：組織的聲譽、商標、形象。

三、識別威脅可以利用的脆弱性 

這一步是評估容易被攻擊者(或威脅源)攻破(或破壞)的薄弱點，包括基礎(chǔ)設(shè)施中的弱點、控制中的弱點、員工意識上的弱點、系統(tǒng)中的弱點和設(shè)計上的弱點等。包括針對資產(chǎn)所關(guān)聯(lián)的物理環(huán)境、組織、人員、管理、硬件、軟件、程序、代碼、通信設(shè)備等多種可能被威脅源所利用并可能導(dǎo)致危害的，由資產(chǎn)自身特性導(dǎo)致的弱點。系統(tǒng)脆弱性往往需要與對應(yīng)的威脅相結(jié)合時才會對系統(tǒng)的安全造成危害。

一個沒有對應(yīng)威脅的脆弱性一般不會造成實在的風(fēng)險，可以不采取相應(yīng)的防護措施，但是有必要密切監(jiān)視這種潛在的風(fēng)險。注意，脆弱性不僅是由于最初購置或制造時的原因產(chǎn)生的，資產(chǎn)的應(yīng)用方法、目的的不同、防護措施的不足都可能造成脆弱性。

四、評估威脅發(fā)生的可能性

容易度描述的是威脅利用脆弱性而可能發(fā)生的容易程度。這里所說的發(fā)生容易度與具體的信息系統(tǒng)沒有關(guān)系。當(dāng)與控制措施結(jié)合之后才形成影響的發(fā)生可能性。

五、識別與分析控目前控制手段的有效性

控制措施可以減少風(fēng)險發(fā)生可能性或者減輕發(fā)生后的影響。因此，必須識別出控制措施并對其有效性進行評估。根據(jù)控制措施的有效性對控制措施賦值，以下簡稱控制度。公司將控制度的等級劃分為1-5（5為基本無效）。每一個等級都要對應(yīng)相應(yīng)的有效性系數(shù)之后參加風(fēng)險的計算。

六、分析資產(chǎn)在威脅脆弱性下發(fā)生的影響度

影響是指威脅對脆弱性一次成功攻擊所產(chǎn)生的負面影響。

影響等級（以下簡稱影響度）是資產(chǎn)重要度等級和暴露等級的乘積。

確定影響度的定義，本公司采取以下定義和計算方式

影響度=（資產(chǎn)重要度等級*暴露等級）*20%

由資產(chǎn)重要度等級值（1-5）與暴露等級（1-5）相乘，并乘以系數(shù)20%取整后，那么影響度等級為：1-5。