ISO27001风险评估方法

Question

我正在为一家希望与ISO 27001保持一致的公司定义一种风险评估方法。该标准明确规定，其目的是保护中情局(机密性、完整性、可用性)。

在我的风险方法中，是否有将每项资产/过程的后果分别与保密性、完整性和可用性相比较的分数，还是仅给每个资产/过程一个分数就足够了。在大多数被批准的工具中，我把它当作后果的一个分数。

独立评估每个中情局的后果不是正确的方法吗？

Answer 1

不，您不需要在C.I & A上对每个控制区域进行评分。组织中控制项的总体状态的一个评分就足够了。每个区域的一个得分也减少了混乱。最后，如何进行评估的决定是6.1.2条款的一部分。更多信息见下文。

关于风险评估应该是什么样子，有很多神话，但实际上，ISO 27001:2013年的要求并不是很难--这里是第6.1.2条所要求的: 1)如何确定可能导致信息的机密性、完整性和/或可用性丧失的风险；2)如何确定风险所有者；3)确定评估后果的标准和评估风险的可能性；4)确定如何计算风险；5)确定接受风险的标准--因此，从本质上说，需要定义这5种因素--任何更少的因素都是不够的，但更重要的是，不需要任何更多的东西，这意味着:不要把事情复杂化太多。

来源注:我不认为这家伙是确定的，但他总结了我应该说得很好的话。

Answer 2

我不太熟悉ISO 27001，但我知道CISSP作者是如何看待这个问题的。它们提出了风险评估的定性和定量方法。结果是一个优先列表，(我相信)每个资产的货币价值。CIA在这个等式中没有发挥很大作用(根据CISSP)，我认为这是正确的，如下例所示：

假设这个漏洞是这样一个事实:员工容易受到社会工程攻击，而威胁则是赎金。让我们进一步假设人力资源人员是最容易受到这种情况影响的人。分析表明，如果ransomware会加密本地盒，而不是在文件服务器上传播，那么您就有本地机器的备份。您可以量化从上一个备份点到攻击发生时间点的恢复工作量和工作损失，平均来说，攻击发生的时间点是Y。那么单个损失预期值是(X + Y) * #(HR员工)*(这种情况发生的概率)。中央情报局没有受到真正的影响(你的人力资源部仍然在运作)，但是你在金钱上对风险有相当好的估计。

免责声明:我当然是在简化，我忽略了质量方面的考虑，对技术/运营部门asf的威胁，但我认为你明白我的意思。