ISO27000認證信息風險評估FAQ 深圳ISO27000認證為什么要進行信息風險評估？ 　　通過風險評估，你可以知道組織范圍內(nèi)存在哪些重要的信息資產(chǎn)、信息處理設(shè)施及其面臨的威脅，發(fā)現(xiàn)技術(shù)和管理上的脆弱點，綜合評估現(xiàn)有綜合資產(chǎn)的風險狀況。 什么是信息風險評估？ 　　風險評估：對信息及信息載體、應(yīng)用環(huán)境等各方面風險進行辨識和分析的過程，是對威脅、影響、脆弱性及三者發(fā)生的可能性的評估。它是確認風險及其大小的過程。 　　風險評估為管理層確定具體的策略，以及在“成本-效益”平衡基礎(chǔ)上做決策服務(wù)；風險控制措施為組織實施信息的改進提供指導。 信息風險評估的實施的主體是什么？ 　　風險評估可分為自評估和檢查評估兩大類。自評估是由被評估信息系統(tǒng)的擁有者依靠自身的力量，對其自身的信息系統(tǒng)進行的風險評估活動。檢查評估則通常是被評估信息系統(tǒng)的擁有者的上級主管或業(yè)務(wù)主管發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標準進行的，具有強制意味的檢查活動，是通過行政手段加強信息的重要措施。 　　檢查評估應(yīng)該是具有一定資質(zhì)的風險評估服務(wù)機構(gòu)實施的。自評估可以在信息風險評估服務(wù)機構(gòu)的咨詢、服務(wù)、培訓下，由系統(tǒng)所有者和評估服務(wù)機構(gòu)共同完成。 信息風險評估的政策依據(jù)及標準依據(jù)？ 　　 信息化領(lǐng)導小組《關(guān)于加強信息保障工作的意見》(中辦發(fā)[2003]27號文件)將信息風險評估作為一項重要的舉措。國信辦2005年5號文率先在北京、上海、黑龍江、云南等地，以及銀行、稅務(wù)、電力三個行業(yè)進行試點，根據(jù)試點經(jīng)驗，各省市建立信息風險評估管理制度。 　　 國信辦標準草案《信息風險評估指南》、《信息風險管理指南》 　　 NIST SP800-30 《Risk Management Guide for Information Technology Systems》 信息風險評估包括哪幾個主要實施階段？ 　　風險評估可以分為資產(chǎn)識別、重要資產(chǎn)賦值、威脅分析、脆弱性識別、風險計算、風險控制措施提出等實施階段。 信息風險評估的主要內(nèi)容及方法？ 　　信息風險評估的實施主要有以下內(nèi)容： 　　 （1）資產(chǎn)識別 　　 （2）資產(chǎn)的屬性賦值及權(quán)重計算 　　 （3）威脅分析 　　 （4）薄弱點分析 　　 （5）威脅發(fā)生可能性及影響分析 　　 （6）風險計算 　　 （7）風險處理計劃制定 　　 風險評估是一項綜合的系統(tǒng)工程，既涉及到技術(shù)，又涉及到管理。風險評估過程中既需要采用技術(shù)的檢測手段，又需要進行綜合的歸納、總結(jié)和分析方法。 　　 風險評估中資產(chǎn)價值的判斷、威脅判斷、事件造成影響的判斷標準都需要根據(jù)被評估實際情況，與被評估方共同確定。 信息風險評估是否會影響系統(tǒng)的業(yè)務(wù)正常運行？ 　　除針對服務(wù)器的漏洞掃描、診斷及滲透性測試外，風險評估不會對系統(tǒng)的業(yè)務(wù)運行造成影響。即使是滲透性測試，也僅僅是為了驗證漏洞存在給系統(tǒng)可能造成的后果（如文件竊取、控制修改關(guān)鍵程序/進程等），而不是以破壞系統(tǒng)為目的。評估人員在執(zhí)行滲透性測試前，會將詳細的滲透測試方案與用戶交流，包括滲透測試對象、測試強度、可能后果、提前備份等要求，并經(jīng)用戶認可后方能實施。 信息風險評估的結(jié)果形式是什么？ 　　信息風險評估在評估過程中將生成一系列的風險評估操作記錄，包括：重要資產(chǎn)列表、脆弱性匯總表、資產(chǎn)威脅識別表、資產(chǎn)威脅風險系數(shù)表、信息資產(chǎn)綜合風險值表等， 將生成三份評估結(jié)果： 　　 脆弱性評估報告：以資產(chǎn)為核心，描述該資產(chǎn)存在的薄弱點。 　　 風險評估報告：反映了風險評估整個過程、方法、內(nèi)容及風險結(jié)果。 　　 風險處理計劃：針對識別的風險，提出具體的控制目標和控制措施。 信息風險評估的周期有多長　 　　信息風險評估沒有確定的時間周期，一般兩年一次進行定期的評估，但當組織新增信息資產(chǎn)、系統(tǒng)發(fā)生重大變更、業(yè)務(wù)流程發(fā)生重大變化、發(fā)生嚴重信息事故等情況下應(yīng)進行風險評估。 　　 此外，對系統(tǒng)規(guī)劃、擴建時也需要進行風險評估，為需求、策略的制定提供依據(jù)。 信息風險評估的收費標準　 　　根據(jù)評估對象的不同而不同。風險評估的對象可以是：單個獨立的信息系統(tǒng)、支持組織業(yè)務(wù)的整體信息處理環(huán)境、整個組織范圍。信息風險評估的費用主要依據(jù)以下幾個方面進行核算： 　　 網(wǎng)絡(luò)規(guī)模 　　 聯(lián)網(wǎng)單位或客戶端抽樣比例 　　 被評估系統(tǒng)的多少 　　 被評估信息設(shè)備的多少 　　 被評估的組織范圍大小

ISO14001 體系推行步驟推行ISO14001：2015應(yīng)完成的62件事項： 1.?召開ISO14001：2015推行動員大會， 是全廠人員參與，包括老板2. 任命環(huán)境管理者代表 雖說標準未要求誰來做，但 是企業(yè)第二或第三負責人，這樣在執(zhí)行時會事半功倍，管理者代表任命書應(yīng)由老板簽發(fā)3. 確定各部門在推行ISO14001：2015中應(yīng)扮演的角色及職責4.?每個部門應(yīng)有一個代表，成立一個推行小組，起到聯(lián)絡(luò)各部門的作用5. 運作流程圖是指各部門日常工作的一個流程，工序流程圖是指生產(chǎn)或檢查工序的一個流程圖6. 便于掌握認證范圍，及相關(guān)工作的展開；應(yīng)統(tǒng)計廠房面積7. 描述廠房四周的建筑物(包括道路)8. 管道從哪里進，哪里出，并且相關(guān)井蓋，化糞池的位置，不同管道用顏色標出9. 對推行小組成員進行標準培訓，環(huán)境因素識別培訓10. 確定流程的輸入及輸出的環(huán)境因素，確定流程的潛在與意外環(huán)境因素11. 由管理者代表會同環(huán)境推行小組確定公司重大環(huán)境因素12. 由采購依照公司化學品清單向供貨商收集化學品的MSDS13. 由工程部制定內(nèi)部化學品的MSDS14. 由有資格人員對我司活動所涉及法律法規(guī)進行文本收集并制作清單并評審其符合性，由市場部對客戶要求進行收集制作清單并評審其符合性15. 由 管理者批準發(fā)布公司的環(huán)境方針16. 由采購/市場同事將環(huán)境方針對外宣傳17. 由人事及行政部將環(huán)境方針對內(nèi)宣傳，制作標識牌，在全廠內(nèi)發(fā)公司不使用含磷洗滌劑的通告18. 由相關(guān)單位與其相關(guān)方簽訂環(huán)境協(xié)議19. 由管理者代表制訂環(huán)境手冊，應(yīng)包括工藝流程圖，公司環(huán)境組織架構(gòu)圖，小區(qū)平面圖，管理者代表任命書等附件，包括公司簡介，環(huán)境方針，對程序文件引用等內(nèi)容20. 由推行專員或各部門負責人制定，可與質(zhì)量體系通用六份文件，總文件一般十二份比較適宜21. 對化學品的管理，對能源消耗的管理，對消防設(shè)施器材的管理，對水電設(shè)施的管理，對電梯的管理，MSDS，及環(huán)境組織職責都應(yīng)寫指引22. 環(huán)境因素識別表格，與供貨商相關(guān)的表格，指引文件所產(chǎn)生的表格，記錄等23. 將體系文件發(fā)行，并對各級人員進行培訓24. 收集上年相關(guān)數(shù)據(jù)指針，不用太復雜，看得出每月用多少就可以了或單位用量25. 每月出貨總數(shù)的統(tǒng)計26. 每月產(chǎn)品總報廢率(生產(chǎn))統(tǒng)計27. 依照上年的數(shù)據(jù)制訂經(jīng)努力就能達到的目標指針方案28. 制定監(jiān)測與測量計劃29. 委托有資質(zhì)的機構(gòu)對公司廢水、澳門當?shù)貜U氣、澳門當?shù)卦胍襞欧胚M行監(jiān)測30. 全廠實施垃圾分類，檢查、澳門當?shù)丶m正其正確性31. 各部門危險廢棄物與行政部的交收記錄32. 策劃消防演習并組織全廠人員參加實施33. 統(tǒng)一編號，清單制作，檢查保養(yǎng)記錄(包括警鈴，指示燈，指示牌)34. 策劃化學品泄漏演習并組織倉庫/生產(chǎn)/保安等相關(guān)人員參加實施35. 火災(zāi)，化學品/油品泄漏，缺水，斷電，人員短缺，等應(yīng)急措施36. 化學品存儲應(yīng)遵守酸堿/固液體/氧化劑還原劑/易燃品助燃品分開放置原則；通風/防爆燈/防爆扇/防泄漏裝置/消防砂/濕度控制/標識/危險品標志/增加防護用品/滅火器放在門外/開關(guān)插座裝在門外/專人管理。37. 司機/醫(yī)護人員/廢水處理人員/審核員/法律法規(guī)收集人員/特殊工種人員等上崗資格證明38. 各種管道標識名稱、澳門本地流向箭頭，機器漏油漏水用桶接住，設(shè)施定期檢查保養(yǎng)39. 對客戶環(huán)保要求的識別，如RoHS＆WEEE的要求，并且進行評審其符合性，并以文件的形式通知采購部40. 采購部依據(jù)客戶的環(huán)保要求對原材料進行采購并要求提供相關(guān)檢測報告，如SGS報告41. 全廠進行環(huán)境體系試運行，垃圾分類并依規(guī)定處理，廢水/廢氣/噪音達標排放，能源消耗節(jié)約制度執(zhí)行，報廢率控制，相關(guān)設(shè)施(水、澳門電、澳門附近消防)定期檢查保養(yǎng)維修，環(huán)境信息交流42. 對環(huán)境推行小組成員進內(nèi)審員培訓，合格發(fā)證43. 包括廠房、澳門本地廢水處理設(shè)施、澳門同城及新進設(shè)備其它設(shè)施都應(yīng)有此報告44. 由環(huán)保分局開出，證明公司近二年從未受過處罰及三廢均達標排放45. 由公安局消防大隊對公司的消防設(shè)施進行驗收并開出的合格意見書46. 由環(huán)保局頒發(fā)公司的廢水處理設(shè)施允許排出的一個資格證47. 環(huán)保局定期對公司的廢水處理設(shè)施進行監(jiān)測的結(jié)果48. 如公司所使用的 49. 公司防雷設(shè)施需定期監(jiān)測50. 危險廢物經(jīng)營許可證/營業(yè)執(zhí)照/特種行業(yè)經(jīng)營許可證51. 公司的廢棄物處置必須與回收商簽訂回收協(xié)議52. 危險廢物轉(zhuǎn)移五聯(lián)單，可回收廢棄物的變賣記錄53. 在培訓合格人員里選取審核員/確定審核組長執(zhí)行環(huán)境體系內(nèi)部審核54. 對內(nèi)審不符合項進行由點到面的改善55. 由CEO主持召開管理評審會議，各部門提供相關(guān)報告，檢討運行以來工作情況，并提出下次需跟進事項56. 對各單位負責人，推行員進行認證前的培訓，提醒大家應(yīng)注意的問題及如何回答問題57. 提請認證公司預(yù)審58. 檢討在運行過程中遇到的問題，并討論如何改善59. 對預(yù)審提出的不符合項進行由點到面的改善60. 迎接認證公司的正審61. 對正審提出的不符合項進行即刻改善關(guān)閉62. 由認證公司發(fā)證