亚洲图片欧美服务全球华人,国产精品久久久久久精品毛片姜怡,野花日本韩国视频免费高清观看,黄色操逼大片黄色操逼大片,伊人大蕉综合网站亚洲最大

ISO27000認證前需要做安全評估，那么怎么做需要做哪些準備工作，ISO27001前期又需要注意些什么呢？下面就和小編一起來看看吧！！

一、風險評估前準備

1、行政部牽頭成立風險評估小組，小組成員至少應該包含：信息安全管理體系負責部門的成員、信息安全重要責任部門的成員。

2、風險評估小組制定信息安全風險評估計劃，下發各部門內審員。

3、必要時應對各部門內審員進行風險評估相關知識和表格填寫的培訓。

二、信息資產的識別

資產范圍包括：

1)數據文檔資產：客戶和公司數據，各種介質的信息文件包括紙質文件。

2)軟件資產：應用軟件、系統軟件、開發工具和適用程序。

3)硬件資產：計算機設備、通訊設備、可移動介質和其他設備。

4)服務：培訓服務、租賃服務、公用設施（能源、電力）。

5)人員：人員的資格、技能和經驗。 

6)無形資產：組織的聲譽、商標、形象。

三、識別威脅可以利用的脆弱性 

這一步是評估容易被攻擊者(或威脅源)攻破(或破壞)的薄弱點，包括基礎設施中的弱點、控制中的弱點、員工意識上的弱點、系統中的弱點和設計上的弱點等。包括針對資產所關聯的物理環境、組織、人員、管理、硬件、軟件、程序、代碼、通信設備等多種可能被威脅源所利用并可能導致危害的，由資產自身特性導致的弱點。系統脆弱性往往需要與對應的威脅相結合時才會對系統的安全造成危害。

一個沒有對應威脅的脆弱性一般不會造成實在的風險，可以不采取相應的防護措施，但是有必要密切監視這種潛在的風險。注意，脆弱性不僅是由于最初購置或制造時的原因產生的，資產的應用方法、目的的不同、防護措施的不足都可能造成脆弱性。

四、評估威脅發生的可能性

容易度描述的是威脅利用脆弱性而可能發生的容易程度。這里所說的發生容易度與具體的信息系統沒有關系。當與控制措施結合之后才形成影響的發生可能性。

五、識別與分析控目前控制手段的有效性

控制措施可以減少風險發生可能性或者減輕發生后的影響。因此，必須識別出控制措施并對其有效性進行評估。根據控制措施的有效性對控制措施賦值，以下簡稱控制度。公司將控制度的等級劃分為1-5（5為基本無效）。每一個等級都要對應相應的有效性系數之后參加風險的計算。

六、分析資產在威脅脆弱性下發生的影響度

影響是指威脅對脆弱性一次成功攻擊所產生的負面影響。

影響等級（以下簡稱影響度）是資產重要度等級和暴露等級的乘積。

確定影響度的定義，本公司采取以下定義和計算方式

影響度=（資產重要度等級*暴露等級）*20%

由資產重要度等級值（1-5）與暴露等級（1-5）相乘，并乘以系數20%取整后，那么影響度等級為：1-5。