国际标准化组织27002条款潜在风险5-18条

Question

我有一个与建立ISO 27001相关的研究项目。

我将使用ISO 27002对所有27001国际标准化组织附件A控制的“虚构”公司进行差距分析。

在我这样做之后，我将使用差距分析的结果来检测风险。

因此，我的问题是，是否每个ISO 27001附件A控制有潜在风险清单(或至少每个条款第5-18条)？

Answer 1

“控制”，也就是第5-18条，是为了减轻风险。它们有助于将风险结晶的影响或可能性降低到组织所能接受的水平。

因此，所有这些控制条款都指向了它们想要减轻的风险。试想一下，“如果这个控制不存在，或者如果它失败了，会发生什么？”然后，您可以构建一个(非常)大的风险列表，这些风险可能与您的示例相关。

Answer 2

风险分析是预先对ISO 27002控制实施进行的。ISMS的实施总是遵循PDCA -计划做检查法案。计划是指在你的情况下：

• 创建该公司所有信息资产的清单。
• 确定风险评估策略，最常见的是“影响x可能性=风险”方法。
• 收集一份威胁清单
• 通过确定对所有资产的影响和可能价值来评估其风险

因此，这些风险是对这家‘虚拟’公司的资产构成的威胁，这种威胁可能会在一定程度上发生。

这些风险在很大程度上取决于公司，但首先，您可以在[医]葛兰示例中查找相应的资产：

资产:员工膝上型计算机威胁:客户端系统中的硬件缺陷(摘自SYS.2.1通用客户端，第2节-威胁场景)

影响:4(比例从1-4，而4是最高的，完全是你的选择)可能性:4(经常发生，因为你的用户用他们的设备洗澡)

风险值: 16

现在，将所有这些放在Excel表中，然后按风险值进行排序。之后，您对其应用ISO 27002的控制，以降低风险。

在本例中:用户培训和意识(A7.1.2)降低了2点的可能性。