企業(yè)申請ISO27001認(rèn)證，一定會有安全評估這個環(huán)節(jié)。評估企業(yè)信息安全是指保障企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問、利用和篡改，為企業(yè)員工提供安全、可信的服務(wù)，保證信息系統(tǒng)的可用性、完整性和保密性。其中，應(yīng)該注意兩方面的內(nèi)容：

iso27001體系認(rèn)證">

①企業(yè)安全管理類。通過企業(yè)的安全控制現(xiàn)狀調(diào)查、訪談、文檔研讀和ISO27001的最佳實(shí)踐比對，以及在行業(yè)的經(jīng)驗上進(jìn)行“差距分析”，檢查企業(yè)在安全控制層面上存在的弱點(diǎn)，從而為安全措施的選擇提供依據(jù)。

評估內(nèi)容包括ISO27001所涵蓋的與信息安全管理體系相關(guān)的11個方面，包括信息安全策略、安全組織、資產(chǎn)分類與控制、人員安全、物理和環(huán)境安全、通信和操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、安全事件管理、業(yè)務(wù)連續(xù)性管理、符合性。

②企業(yè)安全技術(shù)類?；谫Y產(chǎn)安全等級的分類，通過對信息設(shè)備進(jìn)行的安全掃描、安全設(shè)備的配置，檢查分析現(xiàn)有網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)、終端、網(wǎng)絡(luò)安全架構(gòu)的安全現(xiàn)狀和存在的弱點(diǎn)，為安全加固提供依據(jù)。

針對企業(yè)具有代表性的關(guān)鍵應(yīng)用進(jìn)行安全評估。關(guān)鍵應(yīng)用的評估方式采用滲透測試的方法，在應(yīng)用評估中將對應(yīng)用系統(tǒng)的威脅、弱點(diǎn)進(jìn)行識別，分析其和應(yīng)用系統(tǒng)的安全目標(biāo)之間的差距，為后期改造提供依據(jù)。

提到安全評估，一定要有方法論。我們以ISO27001為核心，并借鑒國際常用的幾種評估模型的優(yōu)點(diǎn)，同時結(jié)合企業(yè)自身的特點(diǎn)，建立風(fēng)險評估模型。

在風(fēng)險評估模型中，主要包含信息資產(chǎn)、弱點(diǎn)、威脅和風(fēng)險四個要素。每個要素有各自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價值，弱點(diǎn)的屬性是弱點(diǎn)在現(xiàn)有控制措施的保護(hù)下，被威脅利用的可能性以及被威脅利用后對資產(chǎn)帶來影響的嚴(yán)重程度，威脅的屬性是威脅發(fā)生的可能性及其危害的嚴(yán)重程度，風(fēng)險的屬性是風(fēng)險級別的高低。風(fēng)險評估采用定性的風(fēng)險評估方法，通過分級別的方式進(jìn)行賦值。

分享文章：關(guān)于ISO27001認(rèn)證的安全評估要點(diǎn)
網(wǎng)頁地址：http://aaarwkj.com/hangye/iso/n14058.html

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)