|
|
|
|
|
|
来源: 发布日期:2017.09.15 点击量:
随着互联网的发展和网络技术的不断进步,信息安全问题已经成为每一个企业运营管理中必须要考虑的一个问题。由于互联网的开放性、便捷性以及业务对于IT技术的依赖性,企业信息可由诸多方面的原因造成轻易外泄,给企业的正常运营带来安全隐患。企业在充分利用IT技术,享受信息传递的方便快捷的同时,降低企业信息安全风险显得尤为重要。
安言咨询根据ISO27001:2013版风险评估新要求,采用ISO 31000:2009《风险管理—原则与指南》(国际标准化组织ISO/IEC 于2009年11月15日发布的国际标准)作为为客户实施信息安全风险评估的主要标准依据。针对信息安全策略层面、信息安全管理层面、组织结构和管理制度层面和信息安全技术四个方面提供全面的风险评估过程,识别、分析和处置相关信息安全风险,形成综合性信息安全风险管理框架。
信息安全风险评估方法
安言咨询通过完整的信息安全风险评估可以更加深入地阐明客户方信息安全管理现状,企业业务运营的特定环境中存在的信息安全隐患,以及帮助客户形成信息安全风险库及评估模板,建立有效的风险管理工具,形成未来动态的、可持续改进的信息安全风险管理机制,进而帮助客户实现信息安全目标。通过对潜在信息安全风险进行量化分析和描述,以数字化的形式展现风险的影响范围和发生的可能性,进而帮助客户确定信息安全管理建设的详细需求和风险处置的投资成本收益。安言咨询以在信息安全管理咨询领域中的长期实践为依据对信息安全风险评估提出下述实施要点:
强调特定业务环境中的风险来源和识别。业务流程和信息资产在企业的业务运作中都是静态资产,只有将两者纳入到特定的业务环境才能发现他们对于业务的支撑作用,安言咨询的信息安全风险评估方法在识别业务流程和信息资产的基础上,创新的加入了对业务环境和风险源的识别,从而使特定业务环境成为立体的、可见的风险控制模块,同时在此基础上,通过识别业务流程和信息资产的风险来源,从而精准定位信息安全风险发生的可能性与影响程度,最终为客户呈现一幅完整且准确的风险处置菜单。
量化分析和评价信息科技风险。风险处置的前提是理解风险对于企业业务的影响程度,也就是说在处置风险之前必须明确风险一旦发生,企业的业务会遭受什么样的损失,以及这种情况发生的概率究竟有多大?这就离不开量化的分析和评价。安言咨询的信息安全风险评估方法科学的利用了模糊理论和概率论方法,将定性的风险评估与定量的方法相结合,最终呈现给客户一套数字化的风险评估结论,支撑客户做出科学的风险处置决策。
区分风险优先级,保障处置成本收益最大。风险处置并非故意而为,而应使处置风险的成本收益与业务发展方向和重要性相符合,利用安言咨询的信息安全风险评估方法中的影响范围识别,可以清晰地呈现所识别的信息安全风险对于企业业务网络的影响区间和作用深度,从而杜绝了常见风险评估方法仅根据风险的相对高低决定处置的优先级,而忽略了非重要风险往往可能导致关键的业务模块和流程不可用。
信息安全风险评估实施框架
根据信息安全风险评估结果,结合企业特有的风险承受偏好,安言咨询将会至少从4方面为客户实施信息安全管理机制优化:
信息安全策略管理体系:建立信息安全管理方针与策略,加强对信息资产的有效管理,规定人员安全操作的流程与规范,制定系统配置标准、使用策略等。
信息安全组织管理体系:建立符合安全标准的组织机构,包括跨部门的信息安全管理委员会、安全工作小组、第三方安全服务组织等。
信息安全运行管理体系:建立日常安全运行与维护机制,重点是建立运行问题处理机制,形成完善的运行保障机制,及时、准确、快速地处理生产问题,强调执行过程安全。
应急恢复管理体系:建立基于信息安全管理层面IT系统及业务系统的应急方案,控制事态发展,保障生命财产安全,恢复正常运行状态。
安言咨询又会将上述四个体系包含的策略、制度、流程、操作指南等内容分成四个层级:
信息安全管理制度层级图
一级文件:包括企业的信息安全管理方针,目标;信息安全管理组织的架构;体系运行过程要求等内容。
二级文件:企业对于信息安全管理各方面具体的管理办法、流程及具体的执行要求,是对对信息安全管理方针和策略的进一步细化和明确。
三级文件:具体的信息安全管理制度以及各个流程和安全活动的实施细则文件。这些文件牵涉到与具体部门特定工作或系统相关的作业规范它们是对各个二级文件所规定的领域内工作的细化描述。
四级文件:各种记录文件,包括实施各项流程的记录和表格,应该成为体系得以持续运行的有力证据。
相关客户案例: