ISO27000认证信息安全风险因素的作用机制,ISO27000认证怎样策划-企业易

ISO27000认证信息安全风险因素的作用机制

ISO27000认证风险的构成包含5个方面：风险源、风险方式、风险途径、风险受体和风险损失

。它们之间相互依赖、相互作用，是一种因果关系，能够表达为：风险的1个或多个起源，采用一种或多

种途径，侵害1个或多个风险受体，造成风险损失。

风险源是威胁的发起方，称为威胁源或威胁主体。

风险方式是威胁源实施威胁所采取的手段，称为威胁行为。

风险途径是威胁源实施威胁利用的薄弱环节，称为脆弱性或漏洞。

风险受体是威胁的承受方，即信息系统。

风险损失是威胁源实施威胁所造成的损失，称为影响。

（1）深圳ISO27000认证信息安全威胁的存在方式、存在条件、存在概率是形成风险的外在动力。信息安

全威胁是以不同方式、不同条件，动态存在于信息系统生命周期的每1个阶段。威胁来源复杂，有来自

内部的恶意和无意的员工、顾问、第三方人员，外部的黑客、情报组织、敌对国家、恐怖组织、间谍等；

也有来自非人为的自然灾害、事故或故障等。这些威胁主体有着不同的动机和攻击能力，或出于报复，

或出于经济利益，或出于政治目的，或具有高技能攻击能力、或是使用简单的攻击工具。这些影响因素

交织在一起决定着威胁对信息系统的作用强度和发生概率。

（2）威胁通过脆弱性作用于信息系统是形成风险的必经途径。假如信息系统安全状况良好，不存在可被

利用的弱点，任何威胁都是无能为力的。但绝对安全的系统是不存在的，脆弱性是信息系统固有的客观

现象，既有技术，又有管理和环境方面的脆弱性。在外来威胁的作用下，这些脆弱性的强弱成为诱发、导

致、加速和减缓风险发生的内在动力。风险环境的脆弱性程度决定着其被威胁利用的概率。

（3）信息系统的风险承受力是威胁通过脆弱性作用于信息系统形成风险的转化条件。信息系统的风险承

受力反映的是信息系统受到攻击等情况时，维持业务运行最基本的服务和保护信息资产的抵抗力、识别

力、恢复力和自适应力。抵抗力是1个系统抵抗攻击的能力，识别力是系统识别攻击和损坏程度的能力，

恢复力是在受到攻击后恢复系统的能力，自适应力是根据历史上受到攻击或故障发生情况下防御和抵抗

类似情况的能力。不同的组织的业务特点、规模、技术人员水平、安全需求标准、安全培训教育水平能力

、员工安全意识强弱、实施的安全控制状态、安全事件预警水平、应急响应能力都是不同，对风险的抵

抗和防御表现也是不同的。当风险事件发生时，风险承受力相对较强的组织可能会启动应急方案、组织

高水平的抢救团队，使风险损失降低到组织可承受的范围内；而风险承受力相对较弱的组织，可能会由于

没有方法来控制风险而放任风险发生，造成巨大损失。

（4）风险的直接和间接损失是信息系统风险形成的后果。在对威胁强度和威胁发生概率、脆弱性被威胁

利用的概率、风险承受力的转化概率进行分析估算的基础上，预估信息系统风险发生时的直接和间接损失

，能够明确系统风险等级，为安全决策提供科学依据，采取相应的安全控制措施，提高信息系统的风险

承受能力。

ISO27000认证怎样策划

ISO27000认证怎样策划?

教育培训

为了强化组织的信息安全意识，明确信息安全管理体系的基本要求，进行信息安全管理体系标准和相

关知识的培训是十分必要的，这也是组织搞好信息安全管理的关键因素之一。

拟定计划

信息安全管理体系的建立和维持是一项复杂的系统工程，包含培训、风险评估、文件编写、运行、审

核、纠正和预防措施等大量的工作。为确保体系顺当的建立，组织应进行统筹安排，即制定1个切实可行

的工作规划，明确不同时间段的工作任务目标及责任分工，控制工作进度，突出工作重点，例如采用工程

进度计划表。总体计划被批准后，就能够针对具体工作项目制定详细计划，例如文件编写计划。在制定计

划时，组织应考虑资源需求，例如人员的需求、培训经费、办公设施、聘请咨询公司的费用等，假如寻求

体系的第三方认证，还要考虑认证费用，组织最高管理层应确保提供建立体系所必须的人力与财务资源。

明确信息安全方针与信息安全管理体系范围

信息安全方针是关于在1个组织内，指导怎样对资产，包含敏感信息进行管理、保护和分配的规则、

指示。这里所谈到的信息安全方针是组织信息安全的总体方针，组织首先应制定信息安全方针，描述信息

安全在组织内的重要性，表明管理层的承诺，提出组织管理信息安全的方法，以便为组织的信息安全提供

管理方向与支持。

现状调查与风险评估

组织信息安全管理现状调查与风险评估工作是建立信息安全管理体系的基础与关键，在体系建立的整

个过程中，风险评估的工作量占了很大占比，风险评估的工作质量直接影响安全控制的合理选择，因此，

组织应责成专门的部门负责此项基础性工作，风险评估人员应理解标准的基本要求，掌握风险评估的方法

，熟悉组织商务运作流程与信息系统。风险评估必须不同部门的管理、信息技术、操作人员参与，必要时

应获得信息安全专家的支持。风险评估的结果应被确认。

信息安全管理体系策划

在完成现状调查与风险评估工作之后，组织要根据已确立的信息安全方针的总体要求与信息安全管理

体系范围、风险评估的结果，明确组织信息安全结构与职责、选择控制目标与控制方式、编写控制概要、

制定业务持续性计划。

ISO27001认证费用一般是多少钱?(怎么申请ISO认证)

ISO27001认证费用ISO27001认证多少钱，这是我们企业在做ISO27001认证的情况下，比较关注的还是ISO27001认证价格怎样，这个关系到我们办理ISO27001信息安全体系认证证书的成本，其实ISO27001认证价格与诸多因素有关系，不能一概而论，价格都有一定的区别。小编整理I

哪些企业适合做ISO27001信息安全管理体系认证服务?(怎么申请ISO认证)

ISO27001即信息安全管理体系，它以其严格的审查标准和权威的认证体系，成为全球应用最广泛与典型的信息安全管理标准，主要是针对信息安全中的系统漏洞、黑客入侵、病毒感染等内容进行保护。现在，ISO27001标准已得到了许多国家的认可，是国际上具有代表性的信息安全管理体系标准。什么

ISO13485:2003认证概况(怎么申请ISO认证)

ISO13485：2003认证概况ISO13485的概况本规范是医疗器械生产和质量管理的基本准则，适用于医疗器械制剂生产的全过程生产中影响成品质量的关键工序。2003年，国际标准化组织“医疗器械质量管理和通用要求技术委员会（ISO/TC210）”发布

iso14000认证涉及到的法律法规(ISO认证申请需要注意什么)

ISO14000认证涉及到的法律法规1、中华人民共和国宪法2、中华人民共和国刑法3、中华人民共和国环境保护法4、中华人民共和国大气污染防治法5、中华人民共和国水污染防治法 6、中华人民共和国固体废物污染环境防治

ISO9000认证和ISO9001认证有什么区别？(iso9001资质申请)

ISO9000认证和ISO9001认证有什么区别？( ISO9001资质申请)根据IS09000—1给出的定义，IS09000族是指由ISO／TC176技术委员会制定的所有国际标准。那么由 ISO／TC176技术委员会制定的标准目前有多?众不一。准确的说

ISO27001信息安全管理体系认证所需材料清单(怎么申请ISO认证)

在审核以前，必须准备的资料有：1、公司简介；2、公司工商营业执照；3、其他相关的行业许可资质(如系统集成资质、增值电信许可资质、软件著作权、专利、商标许可等)；4、组织结构图(部门架构和目前公司的主要人员姓名、归属部门、岗位)；<

ISO20000IT服务管理体系认证咨询(怎么申请ISO认证)

ISO20000IT服务管理体系认证咨询2001年由英国政府计算机和电信中心（CCTA）整合而来的英国商务办公室（OGC），从20世纪80年代开始就致力于研究和解决“IT服务质量不佳”的问题。1989年，CCTA发布了一套10卷本的IT服务管理指南，这10本书系统地介绍了根据“最

ISO9000质量认证的价值在哪儿(ISO认证申请需要注意什么)

ISO9000质量认证的价值在哪儿

家具ISO9000标准推行的重点?(ISO认证申请需要注意什么)

家具ISO9000标准推行的重点？家具ISO9000认证往往由受益者（顾客、员工、所有者、分供方、社会）推动的，出于对外提供质量保证的必须，为满足顾客在订货时，向供方提出ISO9000认证的要求，而寻求家具ISO9000认证，即供方最高管理者处于被动状态，由受益者推动供方按顾客

深圳ISO9001认证质量管理体系持续改进的实施(ISO认证申请需要注意什么)

深圳ISO9001认证质量管理体系持续改进的实施深圳ISO9001认证在持续改进的实施过程中，我们重点抓了以下工作，促进质量管理体系的持续有效运行:1. 深圳ISO9001认证始终坚持预防为主。IS09000标准强调，所有的控制都应一针