为什么说ISO27001信息认证必须重视风险评估?
发布时间:2020-09-30 作者:广汇联合 来源:广汇联合
ISO27001信息安全风险评估需要相关的财力和人力的支持,管理层必须以明示的方式表明对评估活动的支持,对资源调配做出承诺,并对信息安全风险评估小组赋予足够的权利,信息安全风险评估活动才能顺利进行。
在做好风险评估的准备工作之后,需要对企业的当前的信息安全系统进行资产识别、威胁识别和脆弱性识别。
此外,在对企业进行信息安全风险评估之前,如果要保障企业信息安全风险评估过程顺利实现并且风险评估结果真实有效,最重要的一点是要首先针对企业的信息安全管理工作制定一个风险评估策略。好的风险评估策略是风险评估模型是否设计成功的关键,一个好的风险评估策略需要包括企业信息安全风险产生的起因以及进行风险评估操作的范围和目的。