|
|
|
|
|
|
來源: 發布日期:2017.09.15 點擊量:
隨著互聯網的發展和網絡技術的不斷進步,信息安全問題已經成為每一個企業運營管理中必須要考慮的一個問題。由于互聯網的開放性、便捷性以及業務對于IT技術的依賴性,企業信息可由諸多方面的原因造成輕易外泄,給企業的正常運營帶來安全隱患。企業在充分利用IT技術,享受信息傳遞的方便快捷的同時,降低企業信息安全風險顯得尤為重要。
安言咨詢根據ISO27001:2013版風險評估新要求,采用ISO 31000:2009《風險管理—原則與指南》(國際標準化組織ISO/IEC 于2009年11月15日發布的國際標準)作為為客戶實施信息安全風險評估的主要標準依據。針對信息安全策略層面、信息安全管理層面、組織結構和管理制度層面和信息安全技術四個方面提供全面的風險評估過程,識別、分析和處置相關信息安全風險,形成綜合性信息安全風險管理框架。
信息安全風險評估方法
安言咨詢通過完整的信息安全風險評估可以更加深入地闡明客戶方信息安全管理現狀,企業業務運營的特定環境中存在的信息安全隱患,以及幫助客戶形成信息安全風險庫及評估模板,建立有效的風險管理工具,形成未來動態的、可持續改進的信息安全風險管理機制,進而幫助客戶實現信息安全目標。通過對潛在信息安全風險進行量化分析和描述,以數字化的形式展現風險的影響范圍和發生的可能性,進而幫助客戶確定信息安全管理建設的詳細需求和風險處置的投資成本收益。安言咨詢以在信息安全管理咨詢領域中的長期實踐為依據對信息安全風險評估提出下述實施要點:
強調特定業務環境中的風險來源和識別。業務流程和信息資產在企業的業務運作中都是靜態資產,只有將兩者納入到特定的業務環境才能發現他們對于業務的支撐作用,安言咨詢的信息安全風險評估方法在識別業務流程和信息資產的基礎上,創新的加入了對業務環境和風險源的識別,從而使特定業務環境成為立體的、可見的風險控制模塊,同時在此基礎上,通過識別業務流程和信息資產的風險來源,從而精準定位信息安全風險發生的可能性與影響程度,最終為客戶呈現一幅完整且準確的風險處置菜單。
量化分析和評價信息科技風險。風險處置的前提是理解風險對于企業業務的影響程度,也就是說在處置風險之前必須明確風險一旦發生,企業的業務會遭受什么樣的損失,以及這種情況發生的概率究竟有多大?這就離不開量化的分析和評價。安言咨詢的信息安全風險評估方法科學的利用了模糊理論和概率論方法,將定性的風險評估與定量的方法相結合,最終呈現給客戶一套數字化的風險評估結論,支撐客戶做出科學的風險處置決策。
區分風險優先級,保障處置成本收益最大。風險處置并非故意而為,而應使處置風險的成本收益與業務發展方向和重要性相符合,利用安言咨詢的信息安全風險評估方法中的影響范圍識別,可以清晰地呈現所識別的信息安全風險對于企業業務網絡的影響區間和作用深度,從而杜絕了常見風險評估方法僅根據風險的相對高低決定處置的優先級,而忽略了非重要風險往往可能導致關鍵的業務模塊和流程不可用。
信息安全風險評估實施框架
根據信息安全風險評估結果,結合企業特有的風險承受偏好,安言咨詢將會至少從4方面為客戶實施信息安全管理機制優化:
信息安全策略管理體系:建立信息安全管理方針與策略,加強對信息資產的有效管理,規定人員安全操作的流程與規范,制定系統配置標準、使用策略等。
信息安全組織管理體系:建立符合安全標準的組織機構,包括跨部門的信息安全管理委員會、安全工作小組、第三方安全服務組織等。
信息安全運行管理體系:建立日常安全運行與維護機制,重點是建立運行問題處理機制,形成完善的運行保障機制,及時、準確、快速地處理生產問題,強調執行過程安全。
應急恢復管理體系:建立基于信息安全管理層面IT系統及業務系統的應急方案,控制事態發展,保障生命財產安全,恢復正常運行狀態。
安言咨詢又會將上述四個體系包含的策略、制度、流程、操作指南等內容分成四個層級:
信息安全管理制度層級圖
一級文件:包括企業的信息安全管理方針,目標;信息安全管理組織的架構;體系運行過程要求等內容。
二級文件:企業對于信息安全管理各方面具體的管理辦法、流程及具體的執行要求,是對對信息安全管理方針和策略的進一步細化和明確。
三級文件:具體的信息安全管理制度以及各個流程和安全活動的實施細則文件。這些文件牽涉到與具體部門特定工作或系統相關的作業規范它們是對各個二級文件所規定的領域內工作的細化描述。
四級文件:各種記錄文件,包括實施各項流程的記錄和表格,應該成為體系得以持續運行的有力證據。
相關客戶案例: