ISO27000認證信息風險評估FAQ 深圳ISO27000認證為什么要進行信息風險評估？ 　　通過風險評估，你可以知道組織范圍內存在哪些重要的信息資產、信息處理設施及其面臨的威脅，發現技術和管理上的脆弱點，綜合評估現有綜合資產的風險狀況。 什么是信息風險評估？ 　　風險評估：對信息及信息載體、應用環境等各方面風險進行辨識和分析的過程，是對威脅、影響、脆弱性及三者發生的可能性的評估。它是確認風險及其大小的過程。 　　風險評估為管理層確定具體的策略，以及在“成本-效益”平衡基礎上做決策服務；風險控制措施為組織實施信息的改進提供指導。 信息風險評估的實施的主體是什么？ 　　風險評估可分為自評估和檢查評估兩大類。自評估是由被評估信息系統的擁有者依靠自身的力量，對其自身的信息系統進行的風險評估活動。檢查評估則通常是被評估信息系統的擁有者的上級主管或業務主管發起的，旨在依據已經頒布的法規或標準進行的，具有強制意味的檢查活動，是通過行政手段加強信息的重要措施。 　　檢查評估應該是具有一定資質的風險評估服務機構實施的。自評估可以在信息風險評估服務機構的咨詢、服務、培訓下，由系統所有者和評估服務機構共同完成。 信息風險評估的政策依據及標準依據？ 　　 信息化領導小組《關于加強信息保障工作的意見》(中辦發[2003]27號文件)將信息風險評估作為一項重要的舉措。國信辦2005年5號文率先在北京、上海、黑龍江、云南等地，以及銀行、稅務、電力三個行業進行試點，根據試點經驗，各省市建立信息風險評估管理制度。 　　 國信辦標準草案《信息風險評估指南》、《信息風險管理指南》 　　 NIST SP800-30 《Risk Management Guide for Information Technology Systems》 信息風險評估包括哪幾個主要實施階段？ 　　風險評估可以分為資產識別、重要資產賦值、威脅分析、脆弱性識別、風險計算、風險控制措施提出等實施階段。 信息風險評估的主要內容及方法？ 　　信息風險評估的實施主要有以下內容： 　　 （1）資產識別 　　 （2）資產的屬性賦值及權重計算 　　 （3）威脅分析 　　 （4）薄弱點分析 　　 （5）威脅發生可能性及影響分析 　　 （6）風險計算 　　 （7）風險處理計劃制定 　　 風險評估是一項綜合的系統工程，既涉及到技術，又涉及到管理。風險評估過程中既需要采用技術的檢測手段，又需要進行綜合的歸納、總結和分析方法。 　　 風險評估中資產價值的判斷、威脅判斷、事件造成影響的判斷標準都需要根據被評估實際情況，與被評估方共同確定。 信息風險評估是否會影響系統的業務正常運行？ 　　除針對服務器的漏洞掃描、診斷及滲透性測試外，風險評估不會對系統的業務運行造成影響。即使是滲透性測試，也僅僅是為了驗證漏洞存在給系統可能造成的后果（如文件竊取、控制修改關鍵程序/進程等），而不是以破壞系統為目的。評估人員在執行滲透性測試前，會將詳細的滲透測試方案與用戶交流，包括滲透測試對象、測試強度、可能后果、提前備份等要求，并經用戶認可后方能實施。 信息風險評估的結果形式是什么？ 　　信息風險評估在評估過程中將生成一系列的風險評估操作記錄，包括：重要資產列表、脆弱性匯總表、資產威脅識別表、資產威脅風險系數表、信息資產綜合風險值表等， 將生成三份評估結果： 　　 脆弱性評估報告：以資產為核心，描述該資產存在的薄弱點。 　　 風險評估報告：反映了風險評估整個過程、方法、內容及風險結果。 　　 風險處理計劃：針對識別的風險，提出具體的控制目標和控制措施。 信息風險評估的周期有多長　 　　信息風險評估沒有確定的時間周期，一般兩年一次進行定期的評估，但當組織新增信息資產、系統發生重大變更、業務流程發生重大變化、發生嚴重信息事故等情況下應進行風險評估。 　　 此外，對系統規劃、擴建時也需要進行風險評估，為需求、策略的制定提供依據。 信息風險評估的收費標準　 　　根據評估對象的不同而不同。風險評估的對象可以是：單個獨立的信息系統、支持組織業務的整體信息處理環境、整個組織范圍。信息風險評估的費用主要依據以下幾個方面進行核算： 　　 網絡規模 　　 聯網單位或客戶端抽樣比例 　　 被評估系統的多少 　　 被評估信息設備的多少 　　 被評估的組織范圍大小

HSE認證管理體系建立過程 南陽（濮陽）HSE認證企業開展HSE體系認證工作通常要進行兩階段工作：建 立和運行HSE管理體系； HSE管理體系認證審核。 (一)南陽（濮陽）HSE認證建立和運行HSE管理體系 1．領導決策和準備 首先需要 管理者做出承諾，即遵守有關法律、法規和其它要求的承諾和 實現持續改進的承諾。在體系建立和實施期間 管理者必須為此提供必要的資 源保障。 建立和實施HSE管理體系是一個十分復雜的系統工程， 管理者應任命HSE管理 者代表，來具體負責HSE管理體系的日常工作。 管理者還應授權管理者代表成立一個專門的工作小組，來完成企業的初始狀 態評審以及建立HSE管理體系的各項任務。 2.教育培訓 HSE管理體系標準的教育培訓，是開始建立HSE管理體系十分重要的工作。培 訓工作要分層次、分階段、循序漸進地進行，并且必須是全員培訓。 3．擬訂工作計劃 通常情況下，建立HSE管理體系需要一年以上的時間，因此需要擬訂詳細的 工作計劃。在擬訂工作計劃時要注意：目標明確、控制進程、突出重點。總計劃 表批準后，就可制定每項具體工作的分計劃。與此同時，還要注意制定計劃的另 一項重要內容是提出資源的需求，報 管理層批準。 4．初始狀態評審 初始狀態評審是建立HSE管理體系的基礎，其主要目的是了解企業的HSE管理 現狀，為企業建立HSE管理體系搜集信息并提供依據。 5．危險辨識和風險評價 危險辨識是整個HSE管理體系建立的基礎。主要分為：危害識別、風險評價 和隱患治理。 6．體系的策劃和設計 主要任務是依據初始評審的結論，制定HSE方針、目標、指標和管理方案， 并補充、完善、明確或重新劃分組織機構和職責。 7．編寫體系文件 HSE管理體系是一套文件化的管理制度和方法，因此，編寫體系文件是企業 建立HSE管理體系不可缺少的內容，是建立并保持HSE管理體系重要的基礎工作， 也是企業達到預定的HSE方針、評價和改進HSE管理體系、實現持續改進和事故預 防必不可少的依據。 8．體系的試運行和正式運行 體系文件編制完成以后，HSE管理體系將進入試運行階段。試運行的目的就 是要在實踐中檢驗體系的充分性、適用性和有效性。試運行階段，企業應加大運 作力度，特別是要加強體系文件的宣貫力度，使全體員工了解如何按照體系文件 的要求去做，并且通過體系文件的實施，及時發現問題，找出問題的根源，采取 措施予以糾正，及時對體系文件進行修改。 經過一段時間的試運行后，體系文件得到了進一步完善，這時就可以進入正 式運行階段了。在正式運行階段發現的體系文件不適宜之處，就需要按照規定的 程序要求來進行。 9．內部審核 內部審核是企業對其自身的HSE管理體系所進行的審核，是對體系是否正常 運行以及是否達到預定的目標等所做的系統性的驗證過程，是HSE管理體系的一 種自我保證手段。內部審核一般是對體系全部要素進行的審核，可采用集中 式和滾動式兩種方式。應有與被審核對象無直接責任的人員來實施，以保證審核 的客觀、公正和獨立性。 10．管理評審 管理評審是由企業的 管理者定期對HSE管理體系進行的系統評價，一般 每年進行一次，通常發生在內部審核之后和第三方審核之前，目的在于確保管理 體系的持續適用性、充分性和有效性，并提出新的要求和方向，以實現HSE管理 體系的持續改進。 (二)HSE管理體系的認證 對于建立了HSE管理體系的企業，經過一段時間的運作后，企業可以根據內 部需要開展HSE管理體系認證，由于HSE管理體系認證可以與 職業衛生管 理體系認證一并進行，企業則可依據 經貿委第983號文件《關于開展職業安 全衛生管理體系認證工作的通知》的有關精神，開始策劃HSE管理體系的認證工 作。 申請認證企業首先向集團公司HSE管理部門提出認證審批報告，下面就認證 審核過程中的具體要求予以介紹。 1．HSE管理體系認證前的準備 為了保證順利通過HSE管理體系認證，除要按照HSE認證中心的要求準備一系 列技術文件外，還需進行認證前的迎檢培訓和組織安排等工作。認證前的充分準 備，可以穩 定組織各級員工的情緒，做到胸有成竹，忙而不亂，是審核人員感 受到一種良好的合作氣氛，這也是通過認證的一個重要因素。 2．HSE管理體系認證審核過程 根據審核的層次和深度上的差異，可以將認證審核的過程大體分為兩個階段 ：即初始審核和正式審核。 對審核通過的企業，HSE認證中心向其頒發認證和認證標志。 認證的有效期為三年，獲證企業應在認證有效期屆滿時，重新提出 認證申請，HSE認證中心受理后，重新對企業進行復評