【正文】 解析）、公用設(shè)施（例如，供暖，照明，能源，空調(diào)）； ? 人員，他們的資格、技能和經(jīng)驗(yàn)； ? 無(wú)形資產(chǎn)，如組織的聲譽(yù)和形象。 ? 轉(zhuǎn)嫁 (transfer)風(fēng)險(xiǎn)至其它組織， 例如保險(xiǎn)公司、供應(yīng)商等。 2023年 9月， 經(jīng)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)批準(zhǔn) ， 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布兩個(gè)新的國(guó)家標(biāo)準(zhǔn) ， 并于 2023年 11月 1日起實(shí)施 。 ? 本步的目標(biāo)是對(duì)已經(jīng)實(shí)現(xiàn)或規(guī)劃中的安全防護(hù)措施進(jìn)行分析 —— 單位通過(guò)這些措施來(lái)減小或消除一個(gè)威脅源利用系統(tǒng)脆弱性的可能性（或概率） ISO27001信息安全管理體系介紹 頁(yè)數(shù) 29 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 風(fēng)險(xiǎn)的分析與評(píng)價(jià) ? 風(fēng)險(xiǎn)分析：系統(tǒng)地使用信息來(lái)識(shí)別風(fēng)險(xiǎn)來(lái)源和估計(jì)風(fēng)險(xiǎn) ? 風(fēng)險(xiǎn)評(píng)價(jià) :將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過(guò)程 ? 存在定性、定量?jī)煞N風(fēng)險(xiǎn)分析方法 ? 實(shí)例： M H HM M H4 M M M M M HM M M3 M M M M M MM M M2 M M M M M ML M M1 L L M L M MM HA s s e t V a l u e0 L L L L L MM e d i u m H i g hL e v e l o f V u l n e r a b i l i t yL M H L M H LL e v e l o f T h r e a t LowISO27001信息安全管理體系介紹 頁(yè)數(shù) 30 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 風(fēng)險(xiǎn)處理策略 經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估后識(shí)別出來(lái)的風(fēng)險(xiǎn)，接著便是制定其對(duì)應(yīng)的風(fēng)險(xiǎn)處理計(jì)劃 . 可能的風(fēng)險(xiǎn)處理計(jì)劃包括以下四種之一或四種的組合 : ? 采取適當(dāng)?shù)目刂拼胧﹣?lái)降低 (reduce) 風(fēng)險(xiǎn)。 ISO27001信息安全管理體系介紹 頁(yè)數(shù) 18 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) ISMS的授權(quán) 準(zhǔn)備適用性聲明（ SoA） 建立 ISMS 檢查 Check 建立 ISMS 保持和 改進(jìn) ISMS 監(jiān)視和 評(píng)審 ISMS 規(guī)劃 Plan 實(shí)施 Do 實(shí)施和 運(yùn)行 ISMS ISO27001信息安全管理體系介紹 頁(yè)數(shù) 19 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 實(shí)施和運(yùn)行 ISMS 檢查 Check 建立 ISMS 保持和 改進(jìn) ISMS 監(jiān)視和 評(píng)審 ISMS 規(guī)劃 Plan 實(shí)施 Do 實(shí)施和 運(yùn)行 ISMS 1. 制定風(fēng)險(xiǎn)處理計(jì)劃 2. 實(shí)施風(fēng)險(xiǎn)處理計(jì)劃 3. 實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃 4. 管理 ISMS的運(yùn)行 5. 管理 ISMS的資源 6. 應(yīng)急響應(yīng)、事故管理 ISO27001信息安全管理體系介紹 頁(yè)數(shù) 20 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 監(jiān)視和評(píng)審 ISMS 檢查 Check 建立 ISMS 保持和 改進(jìn) ISMS 監(jiān)視和 評(píng)審 ISMS 規(guī)劃 Plan 實(shí)施 Do 實(shí)施和 運(yùn)行 ISMS 1. 執(zhí)行監(jiān)視與評(píng)審程序和其它控制措施 2. ISMS有效性的定期評(píng)審 3. 測(cè)量控制措施的有效性 4. 定期實(shí)施 ISMS內(nèi)部審核 5. 定期進(jìn)行 ISMS管理評(píng)審 ISO27001信息安全管理體系介紹 頁(yè)數(shù) 21 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 保持和改進(jìn) ISMS 檢查 Check 建立 ISMS 保持和 改進(jìn) ISMS 監(jiān)視和 評(píng)審 ISMS 規(guī)劃 Plan 實(shí)施 Do 實(shí)施和 運(yùn)行 ISMS 1. 實(shí)施已識(shí)別的 ISMS改進(jìn)措施 2. 采取合適的糾正和預(yù)防措施 3. 從安全經(jīng)驗(yàn)中吸取教訓(xùn) 4. 向所有相關(guān)方溝通措施和改進(jìn)情況 ISO27001信息安全管理體系介紹 頁(yè)數(shù) 22 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 1 2 3 4 信息安全概述 信息安全風(fēng)險(xiǎn)評(píng)估 ISMS介紹 ISO27001 信息安全管理體系要求 目錄 5 ISO27002 信息安全管理實(shí)用規(guī)則 ISO27001信息安全管理體系介紹 頁(yè)數(shù) 23 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 風(fēng)險(xiǎn)的概念 ? 風(fēng)險(xiǎn)是指遭受損害或損失的可能性，是實(shí)現(xiàn)一個(gè)事件的不想要的負(fù)面結(jié)果的潛在因素。 ISO 27001將脆弱性定義如下： 可能會(huì)被一個(gè)或多個(gè)威脅所利用的資產(chǎn)或一組資產(chǎn)的弱點(diǎn) ISO27001信息安全管理體系介紹 頁(yè)數(shù) 28 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 分析當(dāng)前控制 ISO 27002將控制定義如下： 管理風(fēng)險(xiǎn)的方法，包括策略、規(guī)程、指南、慣例或組織結(jié)構(gòu)。 ? 風(fēng)險(xiǎn)管理被認(rèn)為是良好管理的一個(gè)組成部分。 ISO27001信息安全管理體系介紹 頁(yè)數(shù) 24 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 風(fēng)險(xiǎn)管理的目標(biāo) ? 風(fēng)險(xiǎn)管理指標(biāo)識(shí)、控制和減少可能影響信息系統(tǒng)資源的不確定事件或使這些事件降至最少的全部過(guò)程。它們可以是行政、技術(shù)、管理、法律等方面的。它是直接管理活動(dòng)的結(jié)果，表示成方針、原則、目標(biāo)、方法、過(guò)程、核查表（Checklists）等要素的集合。 ? 了解并客觀地接受 ( accept) 風(fēng)險(xiǎn) , 倘若他們清除的符合公司策略并在可接受風(fēng)險(xiǎn)范圍之內(nèi)，或者如果采取控制（ control）措施的話，成本太高。 信息資產(chǎn)類型 : ISO27001信息安全管理體系介紹 頁(yè)數(shù) 6 招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn) 信息資產(chǎn) ? 電腦數(shù)據(jù) ?