歐安信：關於ISO27001認證的安全評估要點

企業申請ISO27001認證，一定會有安全評估這個環節。評估企業信息安全是指保障企業業務系統不被非法訪問、利用和篡改，為企業員工提供安全、可信的服務，保證信息系統的可用性、完整性和保密性。其中，應該注意兩方面的內容：

①企業安全管理類。通過企業的安全控制現狀調查、訪談、文檔研讀和ISO27001的最佳實踐比對，以及在行業的經驗上進行「差距分析」，檢查企業在安全控制層面上存在的弱點，從而為安全措施的選擇提供依據。

評估內容包括ISO27001所涵蓋的與信息安全管理體系相關的11個方面，包括信息安全策略、安全組織、資產分類與控制、人員安全、物理和環境安全、通信和操作管理、訪問控制、系統開發與維護、安全事件管理、業務連續性管理、符合性。

②企業安全技術類。基於資產安全等級的分類，通過對信息設備進行的安全掃描、安全設備的配置，檢查分析現有網路設備、伺服器系統、終端、網路安全架構的安全現狀和存在的弱點，為安全加固提供依據。

針對企業具有代表性的關鍵應用進行安全評估。關鍵應用的評估方式採用滲透測試的方法，在應用評估中將對應用系統的威脅、弱點進行識別，分析其和應用系統的安全目標之間的差距，為後期改造提供依據。

提到安全評估，一定要有方法論。我們以ISO27001為核心，並借鑒國際常用的幾種評估模型的優點，同時結合企業自身的特點，建立風險評估模型。

在風險評估模型中，主要包含信息資產、弱點、威脅和風險四個要素。每個要素有各自的屬性，信息資產的屬性是資產價值，弱點的屬性是弱點在現有控制措施的保護下，被威脅利用的可能性以及被威脅利用后對資產帶來影響的嚴重程度，威脅的屬性是威脅發生的可能性及其危害的嚴重程度，風險的屬性是風險級別的高低。風險評估採用定性的風險評估方法，通過分級別的方式進行賦值。

歐安信平台為全國企業提供安全高效的在線認證諮詢服務，包括高新技術企業認定；信用評級；產品認證（CE、CCC、CQC等）；建築資質認證；體系認證（ISO9001、ISO14001、OHSAS18001、ISO20000、ISO22000、ISO27001等）。平台所有認證服務明碼標價，拿不到證全額退款！目前已有超過3000家企業組織使用歐安信認證！

廣州ISO27001認證：