ISO27001体系建立中的风险评估方法_iso27005风险评估打分

ISO体系建立最为重要的一步

风险评估：
参考标准：
ISO/IEC 31000：风险管理规定（适用于所有体系风险评估以及技术风险评估方法）；
ISO/IEC 27005:2008 信息安全技术风险管理（用于ISO体系家族的风险评估参考标准）

方法论

名词定义：
风险是什么？什么导致风险的存在？接下来会详细的讲解

风险的来源：
在一家企业运营中会存在哪些风险？以及风险会从哪些操作导致的？

通过PPt可以看到，风险可以从人本身、硬件设施、物理环境、软件系统配置等各个方面造成风险，那风险和信息安全管理有哪些联系？

风险管理与信息安全：

注：前面讲到，风险的来源，他都是依托实物，像人、电脑、基础设施、系统等，这些在信息安全管理中会被识别成资产，并通过访谈来确定资产的等级，以及了解某种资产可能存在哪些风险。
上面PPT中讲到C、I、A三性，作为资产等级判定的标准，我们进行了风险识别有哪些作用？

风险评估的作用

注：作为乙方我们类似于医生、而风险评估作为医生的诊断工具，但是作为乙方一定要足够使用工具的能力。

哈哈好了分享先到这，今天上海有点燥热。希望下次我能记的住，然后继续分享风险评估具体的实施步骤和风险评估过程中需要注意的事项。