ISO27001信息安全風(fēng)險的管理是關(guān)于實現(xiàn)和維護信息系統(tǒng)機密性、完整性和可用性的與安全相關(guān)的所有方面，理想的安全風(fēng)險標(biāo)準(zhǔn)應(yīng)該是一個集成的、一致的、可分析的、切合實際的、成本效益平衡的方法。從信息安全風(fēng)險管理分類的介紹可以看出，信息安全風(fēng)險除安全技術(shù)風(fēng)險外，還涉及安全政策、標(biāo)準(zhǔn)、意識、戰(zhàn)略等方面。比如ISO27001和 NISTSP800-26安全自評估指南（Security Self Assessment Guide），則注重安全管理方面多于安全產(chǎn)品和系統(tǒng)，是可以經(jīng)過調(diào)整適合組織需要，進行自我評估的良好標(biāo)準(zhǔn)，已在各種類型組織、公共和私人部門，以及工商業(yè)得到廣泛的應(yīng)用。但由于上述標(biāo)準(zhǔn)涉及的安全方面都缺乏定量的安全測度方法，因此不同評估人員，則會由于主觀的原因，給出不同的風(fēng)險等級，使結(jié)果缺乏可信度，不能直接拿來使用。

ISO27001信息安全風(fēng)險分類不僅要考慮風(fēng)險發(fā)生的可能性和由此而引起的可能后果，而且要在單一風(fēng)險基礎(chǔ)上，同時考慮各項風(fēng)險之間的相互關(guān)系，對綜合安全風(fēng)險進行分析和評估。論文從信息安全科學(xué)的角度，在對上述安全風(fēng)險管理標(biāo)準(zhǔn)的比較基礎(chǔ)上，綜合環(huán)境、人員、管理、技術(shù)、法律、經(jīng)濟等系統(tǒng)風(fēng)險問題，把信息安全風(fēng)險分為：人員風(fēng)險、組織風(fēng)險、物理環(huán)境風(fēng)險、信息機密性/完整性風(fēng)險、系統(tǒng)風(fēng)險、通信操作風(fēng)險、基礎(chǔ)設(shè)施風(fēng)險、業(yè)務(wù)連續(xù)性風(fēng)險、第三方風(fēng)險、風(fēng)險評估風(fēng)險、法律風(fēng)險和風(fēng)險決策風(fēng)險共十二個方面。

1）人員風(fēng)險

由于組織缺乏人員安全管理、明確的職責(zé)和意識教育，內(nèi)部無意或惡意人員的失誤或攻擊，以及來自外部惡意或好奇人員或組織的攻擊，會使組織業(yè)務(wù)面臨大的風(fēng)險。

2）組織風(fēng)險

如果組織在信息安全組織管理方面基礎(chǔ)薄弱、職責(zé)不清、技術(shù)服務(wù)能力差等原因，使組織在信息安全管理方面處于失控狀態(tài)，加大了信息安全風(fēng)險。

3）物理環(huán)境風(fēng)險

由于缺乏對組織場所的安全保衛(wèi)，或是防水、防火、防雷等保護措施，在面臨偷盜、自然災(zāi)難時，有時會造成極大的損失。

4）信息機密性/完整性風(fēng)險

信息是組織信息技術(shù)系統(tǒng)裝載的業(yè)務(wù)數(shù)據(jù)，是一種非常重要價值的資產(chǎn)，甚至一些觀點認(rèn)為信息是組織的血液，是“一種在資產(chǎn)負(fù)債表之外，經(jīng)過逐漸積累的，可以被用來提升組織競爭優(yōu)勢的信息”。同實物資產(chǎn)相比，信息非常分散并且易于復(fù)制，是組織業(yè)務(wù)流程的重要輸入和輸出數(shù)據(jù)，比如客戶資料、產(chǎn)品設(shè)計等，如果得不到正確的識別、評估、保存和管理，就面臨可能被竊取、損毀、丟失的風(fēng)險，不但使依賴于這些關(guān)鍵信息的核心業(yè)務(wù)造成嚴(yán)重?fù)p壞，還會對組織的信譽、聲望造成巨大損失，甚至?xí)輾д麄€組織。

信息風(fēng)險管理，主要是保證信息的機密性、完整性和可用性。

5）系統(tǒng)風(fēng)險

通常所用的計算機操作系統(tǒng)，以及大量應(yīng)用軟件在組織業(yè)務(wù)交流中的使用，尤其是定制應(yīng)用產(chǎn)品，來自這些系統(tǒng)和應(yīng)用軟件的問題和缺陷會對一系列系統(tǒng)造成影響，尤其是多個應(yīng)用系統(tǒng)互聯(lián)時，影響會涉及整個組織的多個系統(tǒng)。比如有的系統(tǒng)維護困難、結(jié)構(gòu)不完善、缺乏文檔、設(shè)計漏洞等多種問題，有時會在系統(tǒng)升級和安裝補丁時引入較高的風(fēng)險。

系統(tǒng)風(fēng)險要求機構(gòu)對系統(tǒng)應(yīng)用具備協(xié)同、維護、測試、版本管理、配置管理、系統(tǒng)管理、監(jiān)控等方面具備管理能力。

6）通信操作風(fēng)險

如果在通訊加密、應(yīng)用分區(qū)、防病毒、IDS 等安全措施出現(xiàn)技術(shù)或管理問題時，被攻擊者利用后，會引發(fā)信息安全風(fēng)險。

7）基礎(chǔ)設(shè)施風(fēng)險

基礎(chǔ)設(shè)施包括支撐業(yè)務(wù)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)（局域網(wǎng)、廣域網(wǎng)、互聯(lián)網(wǎng)、專線網(wǎng)、無線網(wǎng)）、硬件（服務(wù)器、主機、應(yīng)用終端、共享設(shè)備）、物理環(huán)境，它們是組織業(yè)務(wù)賴以生存的基礎(chǔ)（如電力、WEB服務(wù)器、數(shù)據(jù)庫服務(wù)器等），一旦出現(xiàn)故障或中斷，它所承載的應(yīng)用也會出現(xiàn)問題或停頓。

基礎(chǔ)設(shè)施風(fēng)險要求組織在應(yīng)用層、網(wǎng)絡(luò)層、鏈路層、物理層面進行綜合防御。

8）業(yè)務(wù)連續(xù)性風(fēng)險

依賴于信息系統(tǒng)服務(wù)的組織關(guān)鍵業(yè)務(wù)可能因系統(tǒng)的“宕機”而中斷，或是因系統(tǒng)服務(wù)效能的降低（如響應(yīng)時間過長）造成新客戶的流失或老客戶的轉(zhuǎn)移。

業(yè)務(wù)連續(xù)性風(fēng)險，要求機構(gòu)具備信息技術(shù)服務(wù)、安全事件處理和災(zāi)難恢復(fù)能力。

9）第三方合作風(fēng)險

第三方指服務(wù)供應(yīng)商、銷售商。隨著外包業(yè)務(wù)的興起，許多組織業(yè)務(wù)依賴于供應(yīng)商和銷售商的服務(wù)提供，由于不完備的合同、第三方服務(wù)能力性能下降、不適應(yīng)快速增長的業(yè)務(wù)需求、缺乏第三方的管理經(jīng)驗、產(chǎn)品支持失效、過短的升級周期、功能性不足等多種風(fēng)險因素，導(dǎo)致第三方服務(wù)失效。

第三方合作風(fēng)險要求在合同談判、轉(zhuǎn)換服務(wù)上加強風(fēng)險管理。

10）風(fēng)險評估風(fēng)險

如果不專業(yè)的風(fēng)險評估人員、不科學(xué)的評估方法、不一致的評估標(biāo)準(zhǔn)常常會造成系統(tǒng)風(fēng)險評估的不一致、不正確的風(fēng)險評估結(jié)果，造成風(fēng)險決策出現(xiàn)失誤。

11）法律風(fēng)險

在信息系統(tǒng)的運行過程中，由于不知曉國家法律，或是明知故犯，使組織面臨由于個人隱私泄露所造成的風(fēng)險。

12）決策風(fēng)險

應(yīng)用風(fēng)險評估的結(jié)果進行風(fēng)險決策和控制選擇是信息安全風(fēng)險管理的核心，也是最終的目標(biāo)。如果在風(fēng)險分析、評估、控制方面不能全面、科學(xué)反映組織的安全狀態(tài)，決策者可能會在安全投資方面出現(xiàn)重大失誤。決策風(fēng)險主要是依據(jù)風(fēng)險評估的結(jié)果在風(fēng)險避免、風(fēng)險減緩、風(fēng)險轉(zhuǎn)移和風(fēng)險承受四個方面進行權(quán)衡決策，避免決策失誤。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機構(gòu)查詢，檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202008/ccaa_5461.html