颐卓咨询
颐卓咨询总公司
  • 关注微信
  • 公司总机: 020-38860656
    业务咨询: 134 339 33194
    【颐卓咨询集团】020-38860656专业提供ISO认证咨询、管理咨询、培训辅导服务,集团经过超15年发展及管理沉甸,聚集100余名各行业专业精英咨询团队。颐卓咨询本着"专业诚信,一心为客户提升管理水平"的服务理念,发展成为华南地区规模最大的咨询机构之一!
    有目标、沉住气、踏实干。拒绝喧嚷、拒绝浮躁、拒绝摆秀、拒绝浮名、拒绝速成,慢慢地蓄深养厚,最终把事业搞辉煌,把自己搞平淡。
    真诚沟通,互动双赢
    新闻动态
    NEWS CENTER
     
    N 新闻中心 News center 最专业的品牌服务,为您创造更高的价值

    ISO27001信息安全风险分类参考标准

    来源: 网络
    日期: 2020-12-31
    浏览次数: 218


    ISO27001信息安全风险极其庞杂而又非常普遍,每种信息安全风险都是不同的。信息安全风险可能是一个单一的风险,也可能是多种风险的组合;它可能是一般性的,也可能是特殊的;可能是人为有意的,也可能是无意的;可能在一个环节出现,也可能在多个不同的层面、不同的时间出现。


    如果能系统地考虑所有信息安全风险,通过对不同层面、不同来源、不同阶段的风险实施分门别类的管理,用一个系统的、稳定的、具备一致性的方法应对风险,就能把信息安全风险降到最低。

    ISO27001信息安全风险分类参考标准

    目前国际上对信息安全风险进行分类管理的权威标准有:
    ①ISO/IEC17799:2005 ——《信息技术-安全技术-信息安全管理实施细则》(Informati-on technology Security technology Code of practice for Information SecurityManagement);
    ②NISTSP800-26——USA国家标准技术局NIST(NationalInstitute of Standards and Technology )2001年12月发布的信息技术系统风险安全自评估指南;
    ③NISTSP800-53——USA信息系统最低安全控制准则。


    1)ISO/IEC 17799《信息安全风险管理细则》为大多数工商业组织提供了一个通用的信息安全风险管理参考标准,已被世界上许多国家所采用。ISO/IEC17799 主要是侧重于组织安全风险和业务风险管理方面,是一个系统化、程序化和文档化的信息安全风险管理体系。它涉及十一个安全风险的管理方面,36个控制目标,134项安全控制。这十一个安全风险管理方面是:
    ①安全策略;
    ②机构安全;
    ③资产管理 ;
    ④人力资源安全;
    ⑤物理和环境安全 ;
    ⑥通信和操作管理;
    ⑦访问控制;
    ⑧信息系统获取、开发 ;
    ⑨信息安全事件管理; 
    ⑩业务连续性管理;
    ⑾符合性。 

    2)NISTSP800-26 《信息技术风险安全自评估指南》,是为信息系统管理人员进行组织内部风险评估、开发风险转移计划和进行安全决策提供一个参考的文档,是组织对自身信息系统 开展风险管理的一个好的选择。评估指南是以调查问卷形式,采用层次结构设计,调查范围涉及主要信息系统、通用信息系统、支撑系统和内部互联系统。调查问题分为管理控制、操作控制和技术控制三个主要方面,每个方面有一系列子项,共17项:
    ①风险管理;
    ②安全控制回顾 ;
    ③生命周期;
    ④资格认证、鉴别;
    ⑤安全计划;
    ⑥人员安全;
    ⑦物理安全;
    ⑧输入输出控制;
    ⑨连续性计划;
    ⑩硬件和系统软件维护;
    ⑾信息完整性;
    ⑿文档;
    ⒀意识、培训和教育;
    ⒁事件反应能力 ;
    ⒂身份认证;
    ⒃访问控制;
    ⒄审计和审核。

    3)NISTSP800-53《信息系统最低安全控制准则》,根据IT系统对机密性、完整性和可用性的低、中、高关注度,为其建立一组标准的最低安全控制。它分为管理控制、操作控制和技术控制三个种类,每一类都覆盖了安全问题的不同方面,共十六个方面,包括:
    ⑴风险管理;
    ⑵系统开发和采集;
    ⑶配置管理;
    ⑷系统交互;
    ⑸人员安全;
    ⑹安全意识提升、教育培训;
    ⑺物理以及环境保护;
    ⑻媒介保护;
    ⑼应急计划;
    ⑽硬件与系统软件维护;
    ⑾系统和数据的完整性;
    ⑿文档记录;
    ⒀事故响应能力;
    ⒁识别和认证;
    ⒂存取控制;
    ⒃审计和通讯。
    确定了信息系统管理、技术和操作控制的底线。


    公司地址:中国 · 广州市番禺区兴南大道421号南村壹号大厦608室

    热线电话:020-38860656

    体系认证:13822209696

    课程培训:020-38860656

    公司邮箱:1197097228@qq.com

    版权所有:www.chinakec.com广州市颐卓企业管理咨询有限公司
    地址:广州市番禺区南村镇兴南大道421号南村壹号大厦608室
    X
    3

    SKYPE 设置

    4

    阿里旺旺设置

    5

    电话号码管理

    • 020-38860656
    6

    二维码管理

    展开