根據(jù)IS027001的標準，風險評估應(yīng)包括兩部分：

一是估計風險大小的系統(tǒng)方法，即風險分析；

二是將估計的風險與給定的風險準則加以比較，以確定風險嚴重性的過程，即風險評價。

下面進行詳細說明。

一、風險分析

ISO27001風險分析的方法有很多種，包括定性的方法和定量的方法。其最終落腳點大多數(shù)會歸結(jié)到“可能性”與“影響程度”上面，并根據(jù)“可能性”和“影響”的組合確定風險程度。

而對于“可能性”與“影響”的評分，可以根據(jù)歷史經(jīng)驗定性地給出，也可以通過進一步細化或者量化的方法更為精確地給出，最常用的方法之一是通過資產(chǎn)、威脅和脆弱性三個屬性進行分析。

1、資產(chǎn)屬性：即資產(chǎn)價值，指對信息資產(chǎn)的綜合評分，來源于企業(yè)的信息資產(chǎn)管理矩陣，可以通過對信息資產(chǎn)的機密性、完整性、可用性三方面分別進行定量評級后計算得出。

2、威脅屬性：指的是固有存在的威脅，需要考慮威脅產(chǎn)生的頻率和動機等方面。威脅是與資產(chǎn)相對應(yīng)的，不同類別的信息資產(chǎn)可能面臨不同類別的威脅，某一資產(chǎn)可能同時面臨多個不同的威脅。相對的，一個威脅可能對不同的資產(chǎn)產(chǎn)生影響。威脅可能來源于意外的或者有預(yù)謀的事件。不同的威脅有著不同的動機和能力，因此，可以對威脅進行分析，對其出現(xiàn)的頻率量化和賦值。

3、脆弱性屬性：指資產(chǎn)薄弱點的嚴重程度，也以理解為資產(chǎn)被威脅所利用的可能性。薄弱點可能來自軟件、硬件、也可能來源于人員、環(huán)境及管理等方面。某個威脅可能利用多個薄弱點， 一個薄弱點也可能被多個威脅利用， 弱點一旦被威脅利用就可能產(chǎn)生風險， 從而影響到組織的運行或可持續(xù)性發(fā)展。通常從管理和技術(shù)兩個方面，通過人員訪談、現(xiàn)場觀察、文檔流程檢查等方法針對不同的資產(chǎn)進行脆弱性的嚴重程度量化和賦值。

4、通過對資產(chǎn)、威脅和脆弱性的評級，匯總成為“可能性”與“影響”的評分，再進而得到風險值的量化評分。

二、風險評價

通過上述ISO27001風險分析的過程，我們可以得到企業(yè)的風險列表，即源于不同資產(chǎn)，不同威脅以及現(xiàn)有的控制水平基礎(chǔ)上的所有風險。ISO27001風險的高低可依照得分的高低排序，其中得分為8的為最高風險點，為0的為最低風險點。

基于此表，風險評估要設(shè)定一個可接受的風險值，通常來講，此閾值的設(shè)定需要經(jīng)過信息安全管理委員會或公司管理層的批準。低于或等于這個分值的，意味著風險可以接受，也就是可以維持現(xiàn)有的保護措施不變。而高于此分值的風險，意味著風險過高，企業(yè)需要采取某些控制措施去降低、回避或轉(zhuǎn)移風險。同時，對采取控制措施后的脆弱性進行進一步分析，以確保如果新的控制措施得以有效執(zhí)行，風險可以降低到可接受的范圍之內(nèi)。

最后通過舉例來進行說明，假設(shè)某公司部分信息資產(chǎn)相當重要(資產(chǎn)價值評分為4)，而因為病毒導致公司信息遭到泄露的威脅也很高(評分為高)，再假設(shè)此公司未安裝任何防病毒軟件或防火墻，那么在防病毒方面的脆弱性評級同樣很高(評級為高)，從而查表可以得到結(jié)論，此公司的信息資產(chǎn)因為不存在對病毒的防范控制，從而存在很高的風險(評級為8)，那么一定要對此風險進行一定的改進措施，比如安裝殺毒軟件，購買防火墻等。再例如，同樣的信息資產(chǎn)和威脅前提，但公司裝有殺毒軟件和防火墻，只是防火墻的級別不夠高，殺毒軟件沒有及時升級，綜合評價其脆弱性水平為中，查表可得由此而得的風險水平較高(評級為7)。對于此種風險就要進行風險評價，按照公司的實際情況確定是否需要進行升級等措施使風險進一步降低。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商，法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202008/ccaa_5535.html