组织这样应对风险才能更好地实施ISO27001认证体系

在这个对大数据越来越依赖的信息化时代,关于 ISO27001认证体系对于企业的意义自不待言,需求该体系的企业也越来越多,但是不难发现,同样是ISMS,实施效果却不一样。组织和企业掌握了正确的应对风险的方式,才能更好地实施ISO27001认证体系。下面从风险的识别、评价等方面介绍一下。


为了更好地实施ISO27001认证体系,企业应该这样应对风险:


一、识别风险
1、识别ISMS范围内的资产及其责任人;
2、识别资产所面临的威胁;
3、识别可能被威胁利用的脆弱点;

4、识别丧失保密性、完整性和可用性可能对资产造成的影响。


二、分析和评价风险
1、在考虑 丧失资产的保密性、完整性和可用性所造成的后果的情况下,评估安全失误可能造成的对组织的影响;
2、评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实施的控制措施;
3、估计风险的级别;

4、确定风险是否可接受, 或者是否需要使用在4.2.1 c)2)中 所建立的接受风险的准则进行处理。


那么企业在识别和评价风险的时候,具体能做的措施有哪些呢?下面介绍一下识别和评价风险处理的可选措施:
1、采用适当的控制措施;
2、在明 显满足组织方针策略和接受风险的准则的条件下,有意识地、客观地接受风险;
3、避免风险;

4、将相关业务风险转移到其他方,如:保险,供应商等。


以上就是企业如何正确地应对信息安全风险的介绍,ISO27001认证体系不是一纸空文,而是要得到切实地实施才能发挥其价值,希望这篇文章可以帮助企业应用信息安全体系获得收益。