风险评估方法ISO 27001

Question

我想应用ISO 27001的最佳实践，因为一个公司还没有完成其最终的在线架构，它仍在开发阶段。然而，他们几乎知道要使用哪些技术/系统(主要是在云上)，但是几个部分之间的连接还没有最终确定，还有一些与安全相关的实现，比如WAF等等。只需要注意的是，所有的技术/系统都是由云提供商托管的，云提供商已经为其提供的所有服务通过了ISO27001认证。

问题是，如果可以应用基于资产威胁-漏洞的风险方法，并按照几个ISO27001工具包的建议完成所需的文档。这种方法在ISO 27001中仍然有效，应用起来也很简单，但显然，这将是完全定性的，因为没有任何渗透测试可以应用于发现潜在的技术漏洞，并且开发并不是执行代码评审的最终结果。此外，这一风险方法是以每天都在变化的资产库存为基础的。

对于包含许多已部署资产的现有资产库存的快照，ISO认证是否可以这样进行？

Answer 1

是的，这样进行ISO认证是可以的。该标准要求定期或在发生重大变化时进行风险评估。您的认证审计师可能会告诉您，对资产库存的更改构成了重大变化。适用性说明以风险评估为基础。适用性这个词是关键。现在适用的是。正如您所说的，这种情况可能会根据资产或渗透测试的变化进行多次更改。我希望这能帮上忙。祝好运!

Answer 2

简短的回答-是的，你能做到。但请不要这么做。

有一个原因，为什么ISO改变了风险评估方法，从一个基于资产的，嗯，任何有效的。建立/保持/保持一个准确的资产库存(如你所知)是不实际的。此外，保持资产风险不是目标。目标是建立一个风险评估过程，以帮助识别公司信息的风险。

Answer 3

渗透测试与定性和定量风险分析无关，如果您使用允许您包含信心或不确定性的方法(例如PERT，或公平的方法，或基于分布曲线的方法Hubbard在他的书中概述)，您绝对可以使用估计进行适当的定量分析。

尽管如此，国际标准化组织27001基本同意每一个风险评估是建立在比占星术更好的基础上。它的要求在规范中详细说明，并且基本上是，无论您使用哪种方法，它都必须产生一致的、可重复的结果。

如果您的方法是基于资产的，这意味着对资产库存的更改会触发对风险评估的更新。如果你想每天打电话给我。

您还可能在太低的抽象级别上操作。我不认为每天的变化都很大。风险评估不应该太在意三本新笔记本和两部新手机。ISO要求是在发生重大更改后进行更新。因此，您可以将触发器设置得更高，并每月更新一次或任何适合您的业务影响分析。

所以是的，您可以继续进行快照，然后为更新设置合理的触发点。并不是每一次对资产库存的小更新都需要导致新的风险评估，但是您应该有一个定义哪个阈值意味着一个“重大”的变化。