新闻中心 
ISO27001信息安全管理体系风险评估分为几点?
2021-05-21
浏览次数:次
返回列表企业认证ISO27001信息安全管理体系的主要目的是保障企业业务系统不被非法访问、利用和篡改,为全体职工提供安全、可信的服务,保证信息系统的可用性、完整性和保密性。那么,在ISO27001信息安全管理体系认证前,咨询机构需要对企业的哪几个方面进行风险评估呢?领汇认证中心网络客服专员为您详细解答。
一、企业安全管理评估
咨询机构在对企业的安全管理评估方面,主要是对企业的信息安全应急策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理等十个方面展开评估。通过对企业的安全控制现状与ISO27001的最佳实践进行对比,检查企业在安全管理层面上存在的弱点,并对弱点进行分解剖析从而为改进安全措施提供理论依据。
二、企业安全技术评估
在安全技术评估方面,咨询机构主要是针对企业具有代表性的关键应用进行评估。评估方式主要采用渗透测试的方法进行,在应用评估中对系统的威胁、薄弱项进行识别,分析识别结果与应用系统安全目标之间存在的差距,为后期提升改造提供依据。改造中以ISO27001为核心,借鉴国际常用的几种评估模型的优点,结合企业自身的特点,建立以信息资产、薄弱项、威胁和风险四个要素为主的评估模型。然后根据业务需求建立业务模块化,将非关键业务与关键交易业务的交换网络进行分离,避免产生关联风险影响,便于更好的实施分级保护。同时建立层次化的网络结构,根据风险级别区分不同的网络层次,便于实施重点防护。
以上两点就是进行ISO27001信息安全管理体系认证前,需要对企业进行的风险评估点。领汇认证中心作为一家权威、专业的咨询机构,将充分利用自己的专业技能给客户提供量身定制化的认证服务。如果您的企业有资质体系认证的需求,可通过以下方式联系我们:1.公司网站:https://www.linghuicn.com/;2.客服电话:400-800-6621。
领汇认证中心欢迎您的咨询~
温馨提示:文章版权归本公司所有,未经授权,禁止抄袭或转载。
京公网安备 11011502006429号 领汇认证中心,让认证成为一件简单的事!
