ISO27001信息安全认证企业如何评估安全风险？

文章来源：宁夏华道咨询 编辑：宁夏华道咨询

ISO27000认证企业评估安全风险方法：      
        风险评估应对照风险接受准则和组织相关目标，识别、量化并区分风险的优先次序。风险评估的结果应指导并确定适当的管理措施及其优先级，以管理信息安全风险并为防范这些风险实施选择的控制措施。评估风险和选择控制措施的过程可能需要执行多次，以覆盖组织的不同部门或各个信息系统。
        风险评估应包括估计风险大小的系统方法（风险分析），将估计的风险与风险准则加以比较以确定风险严重性的过程（风险评价）。
        风险评估还应定期进行，以应对安全要求和风险情形的变化，例如资产、威胁、脆弱性、影响、风险评价，发生重大变化时也应进行风险评估。风险评估应使用一种能够产生可比较和可再现结果的系统化的方式。

【返回 】