动态资讯
联系我们
确立达顾问集团
(广州.深圳.惠州)
咨询热线:
黄先生 135 5482 3909
邮箱:info@qualtekgz.com
广州公司:广州市黄埔区盛凯大街3号1825房
深圳公司:深圳市龙岗区园山街道星河智荟A2区E座中兴智汇大厦513
惠州公司:惠州市惠城区帝景文化名都大厦B栋1001室
ISO27001十二个方面
1)人员风险。
由于组织缺乏人员安全管理、明确的职责和意识教育、内部无意或恶意人员的错误或攻击、外部恶意或好奇人员或组织的攻击,组织业务将面临巨大风险。
二是组织风险。
如果组织在信息安全组织管理方面基础薄弱、技术服务能力差,组织在信息安全管理方面处于失控状态,增加了信息安全风险。
三是物理环境风险。
由于缺乏对组织场所的安全保护,或者防水、防火、防雷等保护措施,面对盗窃和自然灾害有时会造成很大损失。
4)信息机密性/完整性风险。
信息是组织信息技术系统装载的业务数据,是一种非常重要的资产,甚至有人认为信息是组织的血液,是一种除了资产负债表之外逐渐积累的信息,可以用来增强组织的竞争优势。与实物资产相比,信息非常分散,易于复制,是组织业务流程中重要的输入和输出数据,如客户数据、产品设计等。如果没有得到正确的识别、评估、保存和管理,它将面临被盗、损坏和丢失的风险,这不仅会严重损害依赖这些关键信息的核心业务,还会对组织的声誉和声誉造成巨大损失,甚至破坏整个组织。
信息风险管理主要是保证信息的机密性、完整性和可用性。
五是系统风险。
通常使用的计算机操作系统,以及大量应用软件在组织业务交流中的使用,尤其是定制应用产品,这些系统和应用软件的问题和缺陷都会对一系列系统产生影响,尤其是当多个应用系统互联时,影响会涉及到整个组织的多个系统。例如,一些系统维护困难、结构不完善、缺乏文档、设计漏洞等问题有时会在系统升级和安装补丁时引入更高的风险。
系统风险要求机构具备协同、维护、测试、版本管理、配置管理、系统管理和监控系统应用的管理能力。
六、通信操作风险。
如果通信加密、应用分区、防病毒、IDS等安全措施出现技术或管理问题,被攻击者使用后会造成信息安全风险。
七、基础设施风险。
基础设施包括支持业务应用系统的网络(局域网、广域网、互联网、专线网络、无线网络)、硬件(服务器、主机、应用终端、共享设备)、物理环境,是组织业务生存的基础(如电力、WEB服务器、数据库服务器等)。).一旦出现故障或中断,它承载的应用也会出现问题或停止。
基础设施风险要求在应用层、网络层、链路层和物理层面进行综合防范。
8)业务连续性风险。
依赖信息系统服务的组织关键业务可能因系统停机而中断,或因系统服务效率下降(如响应时间过长)导致新客户流失或老客户转移。
业务连续性风险要求机构具备信息技术服务、安全事件处理和灾难恢复能力。
九、第三方合作风险。
第三方是服务提供商和销售商。随着外包业务的兴起,许多组织业务依赖于供应商和销售商的服务提供。由于合同不完整,第三方服务能力下降,不适应业务需求快速增长,缺乏第三方管理经验,产品支持失败,升级周期短,功能不足等风险因素导致第三方服务失败。
第三方合作风险要求加强合同谈判和转换服务的风险管理。
十、风险评估风险。
如果不专业的风险评估人员、不科学的评估方法和不一致的评估标准往往导致系统性风险评估不一致、风险评估结果不正确、风险决策失误。
11)法律风险。
在信息系统的运行过程中,由于不了解国家法律或明知故犯,组织面临个人隐私泄露带来的风险。
12)决策风险。
风险决策和控制选择是信息安全风险管理的核心和最终目标。如果在风险分析、评估和控制方面不能全面、科学地反映组织的安全状况,决策者可能会在安全投资方面犯重大错误。决策风险主要是基于风险评估的结果,从风险规避、风险放缓、风险转移和风险承受四个方面进行权衡决策,避免决策失误。