亚洲图片欧美服务全球华人,国产精品久久久久久精品毛片姜怡,野花日本韩国视频免费高清观看,黄色操逼大片黄色操逼大片,伊人大蕉综合网站亚洲最大

ISO27000認證前需要(yao)做(zuo)安全評估，那么怎(zen)么做(zuo)需要(yao)做(zuo)哪些準(zhun)備(bei)工作，ISO27001前期又需要(yao)注意些什么呢？下面就和(he)小編一起來看看吧！！

一、風險評估前準備

1、行(xing)政(zheng)部牽頭(tou)成(cheng)(cheng)立風險評估(gu)小組，小組成(cheng)(cheng)員(yuan)(yuan)至少應該包含(han)：信息安全(quan)管理體系(xi)負責部門的成(cheng)(cheng)員(yuan)(yuan)、信息安全(quan)重要責任部門的成(cheng)(cheng)員(yuan)(yuan)。

2、風險(xian)評(ping)估小組制定(ding)信息安全風險(xian)評(ping)估計劃，下發(fa)各(ge)部門內審員。

3、必(bi)要時應對(dui)各(ge)部門(men)內審員進行(xing)風(feng)險評估相關知(zhi)識和表(biao)格填寫(xie)的(de)培訓。

二、信(xin)息資產(chan)的識別

資(zi)產范(fan)圍(wei)包括：

1)數據文(wen)(wen)檔資產：客(ke)戶和公司數據，各種(zhong)介質(zhi)(zhi)的信息文(wen)(wen)件包括紙(zhi)質(zhi)(zhi)文(wen)(wen)件。

2)軟件(jian)資產：應用軟件(jian)、系(xi)統軟件(jian)、開發工具和適(shi)用程序(xu)。

3)硬件資產：計(ji)算機設備、通訊設備、可(ke)移動介(jie)質和(he)其他設備。

4)服務(wu)：培訓服務(wu)、租賃服務(wu)、公(gong)用設施（能源、電力）。

5)人員：人員的資格、技能和(he)經驗。 

6)無形(xing)資產(chan)：組織的聲譽、商標(biao)、形(xing)象。

三、識別威脅可以利用的(de)脆弱性 

這(zhe)一步是評估容易(yi)被攻擊(ji)者(或威脅源)攻破(或破壞)的(de)薄弱(ruo)(ruo)點(dian)，包括(kuo)基(ji)礎(chu)設施中的(de)弱(ruo)(ruo)點(dian)、控制中的(de)弱(ruo)(ruo)點(dian)、員工(gong)意識上(shang)的(de)弱(ruo)(ruo)點(dian)、系(xi)統中的(de)弱(ruo)(ruo)點(dian)和設計(ji)上(shang)的(de)弱(ruo)(ruo)點(dian)等。包括(kuo)針對資產所關(guan)聯的(de)物理環境(jing)、組織(zhi)、人員、管理、硬件、軟件、程序、代碼(ma)、通信(xin)設備等多種(zhong)可能(neng)(neng)被威脅源所利(li)用并可能(neng)(neng)導(dao)(dao)致危害的(de)，由資產自身特(te)性導(dao)(dao)致的(de)弱(ruo)(ruo)點(dian)。系(xi)統脆弱(ruo)(ruo)性往往需(xu)要與對應的(de)威脅相結合時才會對系(xi)統的(de)安全造成危害。

一個沒有(you)(you)對應(ying)威脅的(de)(de)脆弱(ruo)性(xing)(xing)一般不會造(zao)成實在(zai)(zai)的(de)(de)風險，可以(yi)不采(cai)取相應(ying)的(de)(de)防(fang)(fang)護措施，但(dan)是有(you)(you)必要密切監視這種潛在(zai)(zai)的(de)(de)風險。注意(yi)，脆弱(ruo)性(xing)(xing)不僅是由于最初購置或制(zhi)造(zao)時的(de)(de)原因產(chan)生的(de)(de)，資產(chan)的(de)(de)應(ying)用方法、目的(de)(de)的(de)(de)不同、防(fang)(fang)護措施的(de)(de)不足都可能造(zao)成脆弱(ruo)性(xing)(xing)。

四(si)、評估(gu)威脅發生的可能性(xing)

容易度描述的是威脅(xie)利用脆弱性而可(ke)能(neng)發(fa)生(sheng)的容易程度。這(zhe)里所(suo)說(shuo)的發(fa)生(sheng)容易度與具體的信息(xi)系統沒(mei)有(you)關系。當(dang)與控(kong)制(zhi)措施結合之后才形成影響的發(fa)生(sheng)可(ke)能(neng)性。

五(wu)、識別與分析控目(mu)前(qian)控制手段的有效性

控(kong)(kong)制(zhi)措施(shi)(shi)可(ke)以減少風險發生可(ke)能性(xing)或者減輕(qing)發生后的影響(xiang)。因(yin)此，必須識別出(chu)控(kong)(kong)制(zhi)措施(shi)(shi)并(bing)對其(qi)有效性(xing)進(jin)行評估(gu)。根據(ju)控(kong)(kong)制(zhi)措施(shi)(shi)的有效性(xing)對控(kong)(kong)制(zhi)措施(shi)(shi)賦值，以下簡稱控(kong)(kong)制(zhi)度。公司將控(kong)(kong)制(zhi)度的等(deng)級(ji)劃分為1-5（5為基(ji)本無效）。每一個等級都(dou)要對應(ying)相(xiang)應(ying)的(de)有效性系數之后(hou)參加風險(xian)的(de)計(ji)算。

六、分析資(zi)產在威脅脆弱(ruo)性(xing)下發(fa)生(sheng)的影(ying)響度

影響(xiang)是指威脅對(dui)脆弱性一次成功攻擊(ji)所產(chan)生的負面影響(xiang)。

影(ying)響等級（以(yi)下簡稱(cheng)影(ying)響度）是資產重要(yao)度等級和暴露等級的乘(cheng)積(ji)。

確(que)定影響度的定義，本(ben)公司采取以(yi)下定義和計算方式

影響度(du)=（資(zi)產重要度等級*暴(bao)露等級）*20%

由資產重要度等(deng)級值（1-5）與暴露等(deng)級(ji)（1-5）相(xiang)乘，并乘以系數20%取整后，那么影響度等(deng)級(ji)為：1-5。