×

扫描二维码登录本站

标签: 暂无标签

学习资料: ITIL培训基地专家讲堂直播 300期视频回放






信息安全评估作业,我们做了两次了,一直未成型,今年我们做了一个调整,希望可能建立一个可持续作业的框架,作业信息就不做过多文字描述了,有兴趣的同行直接看附件吧。这其中还有一些逻辑问题。
       我们尝试建立一个公司自已的信息安全风险库,与一个公司自已的信息安全措施库,然后基于项目这个管理单元,展开信息安全评估作业,也类似一个体检表,这样的一个新项目我们也可以利用这种体检表进行评估,然后每一个服务项目建立自已信息安全档案,而且是量化的模式。

作业目标:
可以基于项目计算风险值(IDC服务项目的信息安全风险值是多少)
可以基于对象分类计算风险值(PC服务器类的信息安全风险值是多少)
可以基于风险类计算风险值(弱口令这种风险的信息安全风值是多少)
可以基于任何CI计算风险值(一台服务器的信息安全风险值是多少)
可以建立信息安全历史档案

步骤:
1、 确定风险评估模型
2、 明确评估对象种类
3、 明确风险种类
4、 明确风险控制措施
5、 明确评估项目范围
6、 明确评估项目重要度
7、 展开风险评估作业
8、 分析风险现状及问题
9、 明确需采取的风险控制措施
10、
服务改进跟踪

逻辑问题:
风险与对象的关系,风险是独立的,还是基于对象的?
风险与控制措施的关系,控制措施是独立的,还是基于风险的?
风险值=重要度*可能性*严重性:
当一个对象中有多个风险时,其风险值如何计算?
当一个风险有多个控制措施时,其风险值如何计算?

比如下面的例子
项目
重要度

对象

风险
列表

严重性

可能性

风险值

控制
措施

严重性

可能性

风险值

4

CI001

R001

4

2



M001

3

3



4

CI001

R001

4

2



M002

4

2



4

CI001

R001

4

2



M003

2

3



4

CI001

R002

3

3



M004

3

1



4

CI001

R002

3

3



M005

2

2



4

CI001

R002

3

3



M006

1

3







CI001的风险值是多少,CI001的风险值是多少?



上面说的是计算一个CI的风险值,更复杂的是,当一个项目有多个对象时,如何计算一个项目的风险值,或计算一种分类的风险值。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x




上一篇:ISO20000外审记事---破子
下一篇:管理体系内审(ISO20000篇)---破子
karen

写了 442 篇文章,拥有财富 146777,被 13 人关注

您需要登录后才可以回帖 登录 | 立即注册
B Color Link Quote Code Smilies
nastar 发表于 2010-12-28 22:41:28
这个一直是个难点,最近在做同类项目,要多向你请教了。:)
yangsunny 该用户已被删除
yangsunny 发表于 2010-12-29 00:02:23
提示: 作者被禁止或删除 内容自动屏蔽
szyanyang 发表于 2010-12-31 19:36:44
非常好。
luxisz 发表于 2011-1-4 10:26:04
提示: 作者被禁止或删除 内容自动屏蔽
1234下一页
Powered by ITIL  © 2001-2025
返回顶部