ISO 27001标准中的风险评估要点：逐步实施的方法

ISO 27001是一种被广泛使用的框架，它为企业创建信息安全管理体系提供了指导。ISO 27001是一种基于风险的标准，它提出了各种控制措施和政策，以帮助评估和处理信息安全风险。在这种情况下，风险管理是一项非常重要的合规任务。本文将介绍如何执行符合ISO标准的信息安全风险评估方法。

主要要点/核心内容

• ISO 27001框架强调以风险为基础的方法。它提供了相应的控制措施和政策，以应对那些具有较高概率或较大影响的信息安全风险。
• ISO 27001主要应对与数据泄露、网络攻击、人员相关威胁、自然灾害、系统故障、物理盗窃、破坏行为以及违反法规等相关的风险。
• 遵守ISO 27001标准需要建立一个全面的风险评估框架。该框架包括识别、分类、处理以及监控信息安全风险的内容。
• 风险评估人员必须选择适当的风险管理方法，并识别出那些具有重大风险的因素。他们需要根据风险的发生概率和潜在影响来进行分析，并通过风险矩阵对风险进行排序。评估人员还需要制定风险处理计划，明确各项风险的负责人，最后形成一份风险评估报告。
• 小型和中型组织可以通过投资于风险分析、采用谨慎的风险评估方法，以及咨询相关领域的专家来优化其风险管理机制。

主要的ISO 27001风险

在讨论风险评估和管理方法之前，有必要先了解ISO 27001所涵盖的风险类型。ISO 27001是一项关于信息安全的标准。典型的信息安全风险包括：

• 由于未经授权的访问而导致的数据泄露
• 恶意软件以及其他形式的网络攻击
• 与人员相关的安全威胁，例如社会工程攻击（网络钓鱼等）
• 加密密钥或密码数据的盗窃行为
• 影响数据安全的自然灾害及其他紧急情况
• 由于设备或系统故障，导致数据可用性受到严重影响。
• 盗窃包含敏感数据的资产的行为
• 竞争对手的破坏行为
• 与不遵守要求的第三方相关的IT安全风险（供应商风险）
• 诸如违反GDPR或HIPAA等合规风险

了解风险管理以及它为何如此重要

符合ISO 27001标准的要求，需要有一套合理的应对风险的措施。实现这一目标的最佳方式，就是采用全面的风险评估框架。风险管理涉及以下内容： 评估、分类、处理以及监控信息安全风险.

风险评估与分类有助于确定哪些风险适用于信息安全环境。合规团队会识别这些相关风险，并根据以下两个因素对这些风险进行分类：一是这些风险发生的可能性有多大；二是这些风险可能对信息安全造成多大的危害。

分类的重要性在于它能够明确各种风险之间的优先级。ISO 27001中的风险评估团队能够了解哪些风险需要特别关注。评估人员可以降低对某些威胁的优先级，甚至完全忽略某些威胁。那些高风险的威胁应该成为ISO实施策略中的核心内容。

风险处理过程是在评估和风险分类之后进行的。合规专家会决定哪些ISO 27001控制措施适用于每种风险。这一过程通常会将识别出的风险与ISO 27001附录A中列出的控制措施进行对照。

在制定了风险处理计划之后，ISO 27001项目团队会实施相应的控制措施。内部审计则负责检查这些控制措施是否真正得到了落实，并且是否能够正常运行。定期的监督审核则可以确保风险管理过程始终处于有效运作状态。

什么是ISO 27001风险评估？

ISO 27001风险评估是一种风险管理工具，旨在应对信息安全的漏洞和威胁。与所有风险评估一样，ISO 27001的管理计划必须明确并分类各种风险。不过，风险管理者应重点关注附录A中所列出的风险。

ISO 27001风险评估的核心要素包括：

• 注重保密性、隐私保护、数据完整性以及数据的可用性。
• 防止未经授权访问机密数据的措施。
• 确保ISMS的持续合规性和改进。同时，还需要考虑那些可能影响审计工作的风险，以及需要持续进行的风险分析。
• 以资产为中心的风险分析。这种分析方式着重于对信息资产进行评估，以确定其价值和风险优先级。
• 需要考虑与信息安全合规相关的风险。例如，泄露患者数据的相关处罚措施。
• 确保文档管理流程符合ISO 27001的标准要求。

ISO 27001标准中对进行风险评估的要求

在进行ISO 27001风险评估时，各组织必须遵循一些最佳实践。最重要的是，ISO 27001风险管理要求有相应的文档记录。

在开始这一流程之前，各组织应制定一份风险评估方法指南。该文件详细说明了风险评估的过程。这有助于让外部审计人员了解该组织是否真正理解了风险评估的重要性，以及该组织是否遵循了ISO标准。

风险分析方法应当清晰易懂。但同时，它也必须具有全面性。各组织应包含以下五个部分：

• 识别关键信息风险的方法。这必须包括数据完整性、可用性以及保密性方面的风险。
• 关于风险承担方的信息。谁负责管理风险，又是如何确定这一责任的呢？
• 风险标准被用来对各种威胁进行分类，并确定需要优先处理的行动。
• 该组织是如何确定每个风险可能带来的危害程度，以及这种危害发生的概率的。
• 不需要采取任何纠正措施的可接受风险标准。
  
  

请将这种方法作为风险管理流程的基础。将该方法与相关的利益相关者分享，包括那些被指定为风险负责人的人。同时，将该文档提供给内部和外部的审计团队。

实现成功的ISO 27001风险评估的步骤

有效的风险评估是符合ISO 27001标准的重要步骤。那些无法准确评估风险的企业，就无法实施正确的控制措施。认证审核员会检查是否存在缺失的控制措施。如果他们发现仍有未处理的风险，那么他们很可能会拒绝颁发认证。

不过，按照下面列出的步骤来操作的话，就能更容易地发现并减轻那些重要的风险。

请选择一种风险管理方法。

根据ISO 27001标准，风险评估团队必须选择适合其组织的评估方法。目前有两种可能的评估方式：定量风险评估和定性风险评估。

定性评估

定性风险评估是通过假设性情景来模拟潜在的风险。团队在评估风险的影响和可能性时，并不依赖具体的数值指标。评估人员通常会用“低”、“中等”或“高”这样的词语来描述风险的可能性和影响程度。

当评估团队对风险评估环境有充分的了解时，这种方法是可行的。定性方法通常更为快速且简单，这有助于ISO 27001认证流程更快地推进。

定量评估

定量风险评估是通过数据来确定风险的概率和影响的。评估人员可以使用数学工具来对风险进行建模，这些工具通常能够给出关于已识别风险的精确指标。

例如，评估团队可能需要生成关于合规成本的具体数据。定量分析方法可以帮助ISO 27001风险评估团队为增加资源需求提供有力的依据。

当相关数据能够自由获取时，进行定量评估是有意义的。这种评估方式也适用于那些需要准确评估风险的高风险情境。

无论您选择哪种方法，都请务必将其纳入风险评估方法的文档中。

2. 识别关键风险

下一阶段是识别与信息安全环境相关的风险。首先，列出所有信息资产。然后对这些资产进行分类，找出那些风险最高的资产。接着，对每一项资产进行评估，以发现其中的漏洞和威胁。

需要注意的是，根据ISO 27001标准进行风险评估时，必须考虑对保密性、完整性和可用性的威胁。风险评估过程应该将每项资产评估分为三个部分。这样，就可以确保涵盖所有核心风险领域。

3. 分析风险

在这个阶段，你应该已经整理出与信息资产相关的各种风险清单。接下来的挑战就是评估这些风险。ISO 27001风险评估的这一部分包括两个部分：概率和严重性。

概率这指的是该风险对您的信息安全系统产生影响的程度。您的风险处理计划无法完全消除所有风险。请为每种风险分配一个1到3的概率等级，并重点关注那些最有可能发生的风险。

严重程度指的是当风险真正发生时会发生什么。对于风险的严重性，可以有多种不同的理解方式。这种风险可能会带来财务上的影响，比如收入损失、资金被盗或成本增加。它还可能影响到公司的品牌形象以及客户的信任度。此外，这种风险还可能对公司的运营能力产生负面影响，从而损害公司为客户提供服务的能力。

有时候，为每个风险分配多个影响评分是合理的。例如，由于网络安全问题导致信用卡数据被泄露，可能会导致合规方面的处罚以及品牌形象的损害。因此，可以将每个风险的影响评分定为1到3之间，并将这些评分与风险发生的概率一起记录下来。

4. 评估风险并确定优先级

现在，你应该拥有一个包含概率和严重程度的风险登记表。风险评估过程的下一步就是确定各项风险的优先级。

风险优先级评定其实是一件很简单的事情。最值得关注的风险，就是那些发生概率高且危害程度严重的风险。这些风险会严重威胁到信息资产的安全。因此，必须立即采取有效的措施来应对这些风险。

评估风险的最佳方式就是……风险矩阵该表格中，X轴表示严重程度，Y轴表示概率。两个轴的数值范围均为1到3。图表中的各个单元格内包含数值信息，这些数值会随着沿着轴方向的移动而翻倍。

该矩阵为每种风险分配了一个数值化的风险等级。例如，如果一个风险的危险程度为2，而其发生的概率则为3，那么该风险的风险等级就为6。

5. 制定风险处理计划

风险处理计划是一种将风险矩阵评分与相应的纠正措施相结合的文件。每个ISO 27001风险管理流程都必须生成一份风险处理计划，供外部审计团队参考。

根据ISO 27001标准，缓解措施必须采用该标准附录A中推荐的安全控制措施。该文件共提出了93种控制措施，包括技术方法、政策以及程序等。

各组织应将其所采取的控制措施记录下来。适用性声明该声明是对风险处理计划的补充，它详细说明了各项控制措施在保护ISMS方面所发挥的作用。

并非所有风险都需要采取缓解措施。风险处理计划应当明确是否需要采取此类措施。

• 通过适当的控制措施来降低风险。
• 通过改变信息安全环境，可以避免各种风险，从而让这些风险变得不再重要。
• 将风险转移给第三方（例如，通过购买保险来实现）
• 必须接受由于缓解措施成本高昂而带来的风险。
  
  

解释风险评估的依据是非常重要的。例如，有效的风险接受标准可能并不明确。当组织决定不实施ISO 27001的控制措施时，他们必须提供明确的理由来解释这一决定。

6. 明确风险负责人

从技术上讲，这一步骤属于风险处理计划的一部分，但相关责任应得到特别关注。风险负责人是那些负责执行纠正措施的人。他们还会持续监控各种风险，并将任何问题及时通知合规团队。

各组织应为那些不具备ISO 27001相关专业知识的人士提供额外的培训。所有风险管理人员都应拥有沟通渠道，以便能够讨论与ISO 27001合规性相关的各种问题。

7. 编制一份风险报告，并安排一次内部审计。

ISO 27001风险评估过程的最后一步是编制一份风险评估报告。这份报告能够证明该评估已经完成。

本报告旨在为审核人员提供证据，证明该组织已经对与ISO 27001相关的风险进行了评估，并且拥有符合要求的风险评估程序。