学习资料： ITIL培训基地专家讲堂直播 300期视频回放

ISO20000-信息安全评估作业模版
信息安全评估作业，我们做了两次了，一直未成型，今年我们做了一个调整，希望可能建立一个可持续作业的框架，作业信息就不做过多文字描述了，有兴趣的同行直接看附件吧。这其中还有一些逻辑问题。
       我们尝试建立一个公司自已的信息安全风险库，与一个公司自已的信息安全措施库，然后基于项目这个管理单元，展开信息安全评估作业，也类似一个体检表，这样的一个新项目我们也可以利用这种体检表进行评估，然后每一个服务项目建立自已信息安全档案，而且是量化的模式。

作业目标：
可以基于项目计算风险值（IDC服务项目的信息安全风险值是多少）
可以基于对象分类计算风险值（PC服务器类的信息安全风险值是多少）
可以基于风险类计算风险值（弱口令这种风险的信息安全风值是多少）
可以基于任何CI计算风险值（一台服务器的信息安全风险值是多少）
可以建立信息安全历史档案

步骤：
1、 确定风险评估模型
2、 明确评估对象种类
3、 明确风险种类
4、 明确风险控制措施
5、 明确评估项目范围
6、 明确评估项目重要度
7、 展开风险评估作业
8、 分析风险现状及问题
9、 明确需采取的风险控制措施
10、
服务改进跟踪

逻辑问题：
风险与对象的关系，风险是独立的，还是基于对象的？
风险与控制措施的关系，控制措施是独立的，还是基于风险的？
风险值=重要度*可能性*严重性：
当一个对象中有多个风险时，其风险值如何计算？
当一个风险有多个控制措施时，其风险值如何计算？

比如下面的例子

项目 重要度	对象	风险 列表	严重性	可能性	风险值	控制 措施	严重性	可能性	风险值
4	CI001	R001	4	2		M001	3	3
4	CI001	R001	4	2		M002	4	2
4	CI001	R001	4	2		M003	2	3
4	CI001	R002	3	3		M004	3	1
4	CI001	R002	3	3		M005	2	2
4	CI001	R002	3	3		M006	1	3
		CI001的风险值是多少，CI001的风险值是多少？

上面说的是计算一个CI的风险值，更复杂的是，当一个项目有多个对象时，如何计算一个项目的风险值，或计算一种分类的风险值。

谢谢分享

谢谢分享，学习了