ISO27001信息安全风险评估

ISO27001信息安全风险评估是对信息在生成、存储和传输过程中的机密性、完整性、可用性被破坏的可能性以及由此产生的后果进行的估计或评估，是组织确定信息安全需求的过程。在充分考虑企业各种风险的原因和不稳定性后，本文在我国大中型企业实际经营状况的前提下，对企业风险进行了不同层次的风险评估和经营风险。

一方面，在企业各级风险评估中建立风险指标体系，设计风险计算模型，计算企业的基本风险值，反映企业各级风险评估的整体固定风险状况。另外，由于企业层面是比较固定稳定的风险，所以对这些风险的评估次数尽量少。本文每年评估一次，最终得到一个风险综合值。

另一方面，主要针对业务运营过程中风险因素的复杂性。本文还在业务运营中建立了风险指标体系，并利用设计的风险计算模型计算企业的实时风险值。这方面的风险评估测试主要是实时反映业务部门运营过程中的风险状况。由于业务活动面临的风险是动态的、复杂的，所以风险评估的操作频率较高，可以每月或每季度测试一次，从而计算出实时风险值，然后在年底结合这两个方面的风险值。只要实施这一风险评估体系，企业就能清楚地掌握和及时了解企业的整体信息安全风险，从而提高企业的信息安全管理水平。

针对大中型企业的实际经营情况，总结了企业可能面临的信息安全风险的外部因素和内部因素。根据汇总表，我们知道企业在经营过程中总是面临风险，每个风险形成不同的风险因素，每个风险因素还包括几个风险因素，每个风险因素可能对应一个或多个衡量指标，每个衡量指标都会得到一个风险评估结果。

ISO27001企业信息安全风险评估体系过程中的所有下一级风险水平都直接影响一级风险水平，上一级风险水平由下一级风险水平确定。