认证咨询

联系我们

深圳市安信达咨询有限公司 
电      话:+86 755-82800259
                +86 755-82800087
值班经理:13714167519(微信)
邮       箱:anxinda888#126.com  (#换@)
网      址:www.ts16949cn.com








ISO27001认证咨询您当前所在的位置:网站首页 > 认证咨询 > ISO27001认证咨询

ISO27001认证咨询——以风险为中心的信息安全风险的构成要素

 
 
ISO/IEC13335 是国际标准组织发布的《IT信息安全管理指南》,是一个信息安全管理方面的指导性标准。其中ISO/IEC13335-1:2002《信息安全管理和计划的概念和模型》,以风险为中心,确定了资产、威胁、脆弱性、影响、风险、防护措施、剩余风险为信息安全风险的要素,并描述了要素的相互关系。
 
(1)风险要素
 
① 资产
 
资产是组织成功的关键信息或资源,是信息安全保护的主要对象。它包括物理硬件、软件、产品生产和服务能力、人员和其它无形资产。
 
② 威胁
 
威 胁是潜在的能导致信息安全风险事件并对组织及其资产造成损害的活动。它可以通过IT系统或者服务,直接或间接地作用于信息系统,并导致非授权破坏、泄露、 修改、损坏、不可用的损失。威胁必须利用资产固有的脆弱性才能完成对资产的损害,它可能来自人为的或非人为的、可能是故意或无意的、可能是来自环境的威 胁。
 
③ 脆弱性
 
脆弱性是资产在与其相关的物理环境、组织、策略、人员、管理、监控、硬件、软件和信息方面所固有的弱点。脆弱性是最有可能被威胁利用并造成对组织信息系统和业务目标的损害。
 
④ 影响
 
影响是风险事件发生,对资产造成的后果,使一定资产或信息系统的机密性、完整性、可用性、不可否认、可审计性、真实性和可靠性遭到破坏。
 
包括直接和非直接的影响,比如:金融损失、市场份额损失或形象损失。
 
⑤ 风险
 
风险是一定威胁利用资产脆弱性造成组织损失或破坏的潜在程度。它是由风险事件发生的可能性和它的影响来决定。任何资产、威胁、脆弱性和安全防护措施的变化都能对风险产生重要的影响。及时检测或确定信息系统及其环境的变化,采取适当的措施,可以降低风险。
 
⑥ 安全防护措施
 
安全防护措施是抵抗威胁、减少脆弱性、限制风险事件影响、检测风险事件和恢复的安全实践、策略和机制。有效的安全是在资产的多个层面提供安全防护措施,来预防、阻止、检测、限制、纠正、恢复、监视安全事件。
 
在物理环境、技术环境、人员和管理实施安全防护,是保证信息安全的基本要求。
 
⑦ 残余风险
 
风险不可能完全消除,有些风险由于安全成本问题,在满足组织安全需求的前提下,成为残余的风险。
 
⑧ 其它要素
 
(2)风险要素关系
 
风险要素之间存在着多种关系,ISO/IEC13335-1,以风险为中心,清晰表示了资产面临的安全风险与其它风险因素之间的关系,如下图。
 
 
                                              ISO/IEC 13335 风险要素关系
 
 
① 支撑组织业务运行的关键资产,如果对资产的依赖程度越大,在攻击者利用脆弱性发动威胁时,面临着非授权暴露、修改、否认信息、信息服务不可用或损坏的风险也越大,对组织资产和业务造成负面影响,因此引出安全保护需求;
 
② 威胁利用脆弱性作用于关键资产,共同引发风险,威胁越多风险越大,风险的存在导出安全保护需求;
 
③ 脆弱性可能暴露资产价值,资产具有的弱点越多,风险越大,风险的存在导出未被满足的安全保护需求;
 
④ 安全保护需求可通过安全防护措施得以满足。
 
⑤ 安全防护措施的实施,可以抵御威胁,减少脆弱性,降低风险。
 
 
************************************************************************************************************************************************************************************************************************************************************************
 

深圳市安信达咨询公司——23年老品牌国家首批ISO认证咨询备案、中国百强咨询机构、十大影响力品牌、广东省甲级咨询单位、广东省中小企业管理咨询服务示范单位、深圳市中小企业管理咨询服务示范单位、深圳市卓越绩效促进会会员单位、深圳市“市长质量奖”指定辅导单位!

在当下急功近利、鱼龙混杂的市场环境,安信达咨询公司不忘初衷、始终如一坚持公司的经营理念:“提升管理,为客户创造价值”,真真切切关注客户的需求,一切以客户的需求出发、以客户的需求为导向,关注咨询给客户带来的价值。安信达ISO认证咨询公司是华南地区同行业为数的不多的真正关注客户需求和利益的正规品牌ISO咨询机构!

 

因此,与安信达合作,企业自身一定要明确需求,显性的结果虽然相同(都ISO质量体系文件、都能通过认证、都能获取证书),但不同的目的、需求其辅导过程、深入程度、咨询师安排及工作量不同,企业的收益也不同,当然企业的投资也不同。有的只是获得了一张证书,有的通过体系的有效建立、推行从而规范企业的管理、提升企业管理水平,有效预防不良,降低企业不良成本,提升效益,让企业在竞争激励的市场环境中赢得更多机会。

公司技术力量雄厚,拥有一批优秀、稳定的专职咨询团队。咨询师队伍中大多供职10年以上,归属感强、责任心强。70%的团队成员具有大型外资、港资、台资品质管理、生产运营管理出身,实战管理经验丰富,对企业存在的问题能够一阵见血并提供可靠的解决方案。

公司有规范、完善的内部管理系统:

业内首家实行:

1) 《咨询师注册制度》:此注册制度高于国家注册咨询师要求,更加注重理论与实战的结合。

2) 《咨询师咨询过程质量监控制度》:监控来自三个方面:a、业务经理;b、专业客服;c、咨询总监(抽查的方式)

3) 《咨询师绩效考核制度既咨询师激励制度》:主要考核专业的能力和态度(责任心)两方面,态度方面的考核权重占65%,考核结果直接与薪酬与在职培训挂钩,推动与拉动双核驱动,激励咨询师更好的服务客户。

 

目前开展的ISO系列认证有:ISO9001认证ISO14001认证IATF16949认证ISO13485认证OHSAS18001认证QC080000认证AS9100认证HACCP认证ISO22000认证ISO27001认证ISO20000认证FSSC22000认证SA8000认证、ISO26000认证、ISO17025认证QS认证咨询英国BRC认证美国AIB认证TAPA认证ICTI认证ISO14604认证ISO50001认证等。点击标准查看详细信

为您服务的电话:0755-82800259,0755-82800087,24小时咨询电话:13714167519,甘先生,您的一个电话,我们将全力以赴!


联系我们
深圳市安信达咨询有限公司 (始于1996)          
0755-82800259      0755-82800087
值班经理:13714167519(微信) 甘经理
邮       箱:anxinda888@126.com  
Feedback我要留言
姓名 *
电话
Email
其他联系 如QQ等
留言内容 *
验证码
  
CHOOSE THE ANGEL STAR 企业管理咨询机构鱼龙混杂,如何选择适合自己企业的专业机构,日益成为企业发展道路上一个重要的课题!安信达咨询机构具有二十年中小企业管理诊断、咨询、培训、辅导一条龙服务经验。在当下急功近利社会环境,安信达不忘初衷、始终如一坚持 “提升管理,为客户创造价值”的理念,真正关注客户的需求,关注咨询给客户带来的价值。安信达咨询是华南地区同行业为数的不多的真正关注客户需求和利益的正规品牌咨询机构!安信达咨询机构是您最佳的企业管理顾问!