ISO27001信息安全风险分为:人员风险、组织风险、物理环境风险、信息机密性/完整性风险、系统风险、通信操作风险、基础设施风险、业务连续性风险、第三方风险、风险评估风险、法律风险和风险决策风险共十二个方面。
1)人员风险
由于组织缺乏人员安全管理、明确的职责和意识教育,内部无意或恶意人员的失误或攻击,以及来自外部恶意或好奇人员或组织的攻击,会使组织业务面临大的风险。
2)组织风险
如果组织在信息安全组织管理方面基础薄弱、职责不清、技术服务能力差等原因,使组织在信息安全管理方面处于失控状态,加大了信息安全风险。
3)物理环境风险
由于缺乏对组织场所的安全保卫,或是防水、防火、防雷等保护措施,在面临偷盗、自然灾难时,有时会造成极大的损失。
4)信息机密性/完整性风险
信息是组织信息技术系统装载的业务数据,是一种非常重要价值的资产,甚至一些观点认为信息是组织的血液,是“一种在资产负债表之外,经过逐渐积累的,可以被用来提升组织竞争优势的信息”。同实物资产相比,信息非常分散并且易于复制,是组织业务流程的重要输入和输出数据,比如客户资料、产品设计等,如果得不到正确的识别、评估、保存和管理,就面临可能被窃取、损毁、丢失的风险,不但使依赖于这些关键信息的核心业务造成严重损坏,还会对组织的信誉、声望造成巨大损失,甚至会摧毁整个组织。信息风险管理,主要是保证信息的机密性、完整性和可用性。
5)系统风险
通常所用的计算机操作系统,以及大量应用软件在组织业务交流中的使用,尤其是定制应用产品,来自这些系统和应用软件的问题和缺陷会对一系列系统造成影响,尤其是多个应用系统互联时,影响会涉及整个组织的多个系统。比如有的系统维护困难、结构不完善、缺乏文档、设计漏洞等多种问题,有时会在系统升级和安装补丁时引入较高的风险。系统风险要求机构对系统应用具备协同、维护、测试、版本管理、配置管理、系统管理、监控等方面具备管理能力。
6)通信操作风险
如果在通讯加密、应用分区、防病毒、IDS等安全措施出现技术或管理问题时,被攻击者利用后,会引发信息安全风险。
7)基础设施风险
基础设施包括支撑业务应用系统的网络(局域网、广域网、互联网、专线网、无线网)、硬件(服务器、主机、应用终端、共享设备)、物理环境,它们是组织业务赖以生存的基础(如电力、WEB服务器、数据库服务器等),一旦出现故障或中断,它所承载的应用也会出现问题或停顿。基础设施风险要求组织在应用层、网络层、链路层、物理层面进行综合防御。
8)业务连续性风险
依赖于信息系统服务的组织关键业务可能因系统的“宕机”而中断,或是因系统服务效能的降低(如响应时间过长)造成新客户的流失或老客户的转移。业务连续性风险,要求机构具备信息技术服务、安全事件处理和灾难恢复能力。
9)第三方合作风险
第三方指服务供应商、销售商。随着外包业务的兴起,许多组织业务依赖于供应商和销售商的服务提供,由于不完备的合同、第三方服务能力性能下降、不适应快速增长的业务需求、缺乏第三方的管理经验、产品支持失效、过短的升级周期、功能性不足等多种风险因素,导致第三方服务失效。第三方合作风险要求在合同谈判、转换服务上加强风险管理。
10)风险评估风险
如果不专业的风险评估人员、不科学的评估方法、不一致的评估标准常常会造成系统风险评估的不一致、不正确的风险评估结果,造成风险决策出现失误。
11)法律风险
在信息系统的运行过程中,由于不知晓国家法律,或是明知故犯,使组织面临由于个人隐私泄露所造成的风险。
12)决策风险
应用风险评估的结果进行风险决策和控制选择是信息安全风险管理的核心,也是最终的目标。如果在风险分析、评估、控制方面不能全面、科学反映组织的安全状态,决策者可能会在安全投资方面出现重大失误。决策风险主要是依据风险评估的结果在风险避免、风险减缓、风险转移和风险承受四个方面进行权衡决策,避免决策失误。
1iso27001认证的费用相对较高2因为为了达到认证标准,公司需要进行一系列的安全措施和管理,需要雇佣专业团队进行评估和审查,还需要购买相关的软件和设备,所以费用会比较高。3然而,认证后可以提高公司的信息安全水平和信誉度,减少信息泄露和被黑客攻击的风险,降低了运营成本,提升了市场竞争力,具有重要的意义。
ISO27001标准对信息安全提出了一系列要求,包括建立信息安全管理体系、进行风险评估和管理、确保合规性、保护信息资产、确保业务连续性、进行安全培训和意识提升、实施安全事件管理和应急响应等。
这些要求旨在帮助组织建立全面的信息安全控制措施,保护信息资产免受威胁和损害,确保业务的可靠性和可信度。
PIMS是"个人信息管理体系",即英语PersonalInformationManagementSystem的缩写。
它提供了一个架构,让组织能维持和改善对数据保护法律及最佳实践的遵循,同时也是对ISO27001信息安全管理体系在个人信息保护方面的进一步深化,以在个人数据利用与保护之间进行合理的平衡,降低组织运营与合规方面的风险。