用户投稿二、ISO 27005 架构
ISO 27005资讯安全风险管理架构如下图:
先说明建立全景的步骤:
在这个阶段我们利用第四章所分析的资讯,建立基本準则、範围範畴及组织对资讯安全风险管理的组织架构,以下分别就这三个部分说明:
(一)基本準则
要发展一套良好的风险管理方法,组织应该选用或开发一些基本準则,如风险评估準则、冲击準则、风险接受準则。根据风险管理的範围和目标的不同,不同组织可能採用不同的方法跟準则,每一循环所採用的方法也可能不同,所以组织须确保下列资源可用,以进行相关準则选用或开发:
•执行风险评估和确定风险处置计画
•定义和实施方针和程序,包括实施已选择的控制措施
•监视控制措施
•监视资讯安全风险管理过程
组织应定义用于评估风险重要性的準则,而这些準则应反映组织的价值观、目标和资源,其中某些準则可能是藉由法律、监管要求以及组织其他要求产生。风险评估準则应与组织的管理政策一致,在任何管理过程开始时定义并不断进行审查、确保符合事实且可用,可以参考的因素如后:
•企业资讯处理对组织的策略价值
•重要资讯资产应纳入考量
•法律及规定的需求、合约履行的义务
•运作时的机密性、可用性与完整性
•经营者期待与认知、期望与声誉的负面评价预估
上表仅为一个範例,组织可依照全景分析的结果订定相关的评估準则,此类準则应可明确区分每一个等级及解释每个等级所代表的意义,如此才能确保重複的资讯安全风险评鉴能产出一致的、有效的和可比较的结果。
微信扫一扫打赏
支付宝扫一扫打赏
