ISO27001 信息安全风险不仅要考虑风险发生的可能性和由此而引起的可能后果,而且要在单一风险基础上,同时考虑各项风险之间的相互关系,对综合安全风险进行分析和评估。因此,信息安全肯定不仅仅和企业自身有关。
我们都知道信息安全风险分为:人员风险、组织风险、物理环境风险、信息机密性/完整性风险、系统风险、通信操作风险、基础设施风险、业务连续性风险、第三方风险、风险评估风险、法律风险和风险决策风险共十二个方面。
其中,第三方风险值得企业重视,第三方指服务供应商、销售商。随着外包业务的兴起,许多组织业务依赖于供应商和销售商的服务提供,由于不完备的台同、第三方服务能力性能下降、不适应快速增长的业务需求、缺乏第三方的管理经验、产品支持失效、过短的升级周期、功能性不足等多种风险因素,导致第三方服务失效。第三方合作风险要求在合同谈判、转换服务上加强风险管理。
因此,ISO27001信息安全体系要求企业在关注自身的风险的同时,也对第三方风险给予足够的重视