基于业务流程的iso 27001:2013风险评估方法

Question

我正在为iso 27001:2013编写一个isms实现。迄今为止，无论采用何种风险评估方法，我都使用了基于资产的方法，其中的方法侧重于资产价值评估、威胁、脆弱性和控制实施状态值，以计算与基础资产相关的风险。最近，我遇到了一个基于业务流程的风险评估。我在谷歌上搜索过，发现了很少有帮助的网站，尽管在风险评估方法或相关模板方面找不到任何具体的东西。寻求帮助，提出一个基于流程的方法，用于风险评估，否则任何样本模板将大大提前appreciated.Thanks。

Answer 1

通常，风险分析是基于流程的:您与客户一起进行主要业务流程，然后为每个流程查找相关资产。对于每一项资产，在资产中断的情况下，应明确界定对业务流程的影响:无影响、低影响、中等影响、高影响，并强调每项资产的脆弱性。资产的重要性应该根据业务流程的重要性和该资产的影响来定义。

Answer 2

我觉得看看GIAC会是个好地方。你可以找到许多实用的例子和案例研究。

实用。风险评估。方法或定性和定量风险评估

Answer 3

您有可能从资产风险中提取流程风险并对其进行评估。我对流程的定义是“业务任务的描述(流程1类似于订单流程管理)”。

对于这种方法，您必须与流程所有者坐在一起，确定有可能阻止流程预期结果的风险。所识别的风险可以根据发生的概率和影响进行评估。流程所有者将不得不评估类似的内容：

• 发生概率
• 发生风险时的财务损失(硬件损坏)
• 名誉损失(如果你对这种事感兴趣的话)
• 因违反合同或法律而造成的经济损失

您可以建立一个典型的量化风险评估矩阵(发生概率的一个轴，评估影响的组合)，并在此基础上对所有风险进行分类。这将使您能够灵活地自行建立一个矩阵(这对于iso 27001:2013是很好的！)并涵盖个人风险，这些风险可以由那些真正了解这个过程的人来定义。