儋州市ISO10012认证费用如何安排

ISO27000认证信息风险评估FAQ 深圳ISO27000认证为什么要进行信息风险评估？ 　　通过风险评估，你可以知道组织范围内存在哪些重要的信息资产、信息处理设施及其面临的威胁，发现技术和管理上的脆弱点，综合评估现有综合资产的风险状况。 什么是信息风险评估？ 　　风险评估：对信息及信息载体、应用环境等各方面风险进行辨识和分析的过程，是对威胁、影响、脆弱性及三者发生的可能性的评估。它是确认风险及其大小的过程。 　　风险评估为管理层确定具体的策略，以及在“成本-效益”平衡基础上做决策服务；风险控制措施为组织实施信息的改进提供指导。 信息风险评估的实施的主体是什么？ 　　风险评估可分为自评估和检查评估两大类。自评估是由被评估信息系统的拥有者依靠自身的力量，对其自身的信息系统进行的风险评估活动。检查评估则通常是被评估信息系统的拥有者的上级主管或业务主管发起的，旨在依据已经颁布的法规或标准进行的，具有强制意味的检查活动，是通过行政手段加强信息的重要措施。 　　检查评估应该是具有一定资质的风险评估服务机构实施的。自评估可以在信息风险评估服务机构的咨询、服务、培训下，由系统所有者和评估服务机构共同完成。 信息风险评估的政策依据及标准依据？ 　　 信息化领导小组《关于加强信息保障工作的意见》(中办发[2003]27号文件)将信息风险评估作为一项重要的举措。国信办2005年5号文率先在北京、上海、黑龙江、云南等地，以及银行、税务、电力三个行业进行试点，根据试点经验，各省市建立信息风险评估管理制度。 　　 国信办标准草案《信息风险评估指南》、《信息风险管理指南》 　　 NIST SP800-30 《Risk Management Guide for Information Technology Systems》 信息风险评估包括哪几个主要实施阶段？ 　　风险评估可以分为资产识别、重要资产赋值、威胁分析、脆弱性识别、风险计算、风险控制措施提出等实施阶段。 信息风险评估的主要内容及方法？ 　　信息风险评估的实施主要有以下内容： 　　 （1）资产识别 　　 （2）资产的属性赋值及权重计算 　　 （3）威胁分析 　　 （4）薄弱点分析 　　 （5）威胁发生可能性及影响分析 　　 （6）风险计算 　　 （7）风险处理计划制定 　　 风险评估是一项综合的系统工程，既涉及到技术，又涉及到管理。风险评估过程中既需要采用技术的检测手段，又需要进行综合的归纳、总结和分析方法。 　　 风险评估中资产价值的判断、威胁判断、事件造成影响的判断标准都需要根据被评估实际情况，与被评估方共同确定。 信息风险评估是否会影响系统的业务正常运行？ 　　除针对服务器的漏洞扫描、诊断及渗透性测试外，风险评估不会对系统的业务运行造成影响。即使是渗透性测试，也仅仅是为了验证漏洞存在给系统可能造成的后果（如文件窃取、控制修改关键程序/进程等），而不是以破坏系统为目的。评估人员在执行渗透性测试前，会将详细的渗透测试方案与用户交流，包括渗透测试对象、测试强度、可能后果、提前备份等要求，并经用户认可后方能实施。 信息风险评估的结果形式是什么？ 　　信息风险评估在评估过程中将生成一系列的风险评估操作记录，包括：重要资产列表、脆弱性汇总表、资产威胁识别表、资产威胁风险系数表、信息资产综合风险值表等， 将生成三份评估结果： 　　 脆弱性评估报告：以资产为核心，描述该资产存在的薄弱点。 　　 风险评估报告：反映了风险评估整个过程、方法、内容及风险结果。 　　 风险处理计划：针对识别的风险，提出具体的控制目标和控制措施。 信息风险评估的周期有多长　 　　信息风险评估没有确定的时间周期，一般两年一次进行定期的评估，但当组织新增信息资产、系统发生重大变更、业务流程发生重大变化、发生严重信息事故等情况下应进行风险评估。 　　 此外，对系统规划、扩建时也需要进行风险评估，为需求、策略的制定提供依据。 信息风险评估的收费标准　 　　根据评估对象的不同而不同。风险评估的对象可以是：单个独立的信息系统、支持组织业务的整体信息处理环境、整个组织范围。信息风险评估的费用主要依据以下几个方面进行核算： 　　 网络规模 　　 联网单位或客户端抽样比例 　　 被评估系统的多少 　　 被评估信息设备的多少 　　 被评估的组织范围大小

SO20000认证实施 阶段： ?管理现状调查与差距分析 ?体系培训与学习 ISO20000认证第二阶段： ?规划体系的基本架构 ?建立服务级别管理 ?建立服务台管理体系 ?建立事件管理体系 ?建立问题管理体系 ?规范日常管理制度 ISO20000认证第三阶段： ?建立配置管理体系 ?建立变更管理制度和发布管理制度 ISO20000认证第四阶段： ?建立业务连续性管理框架，制定应用统的应急预案 ?建立系统规划机制（可用性管理和容量管理），规划系统的容量和可用性 ?建立系统运行的规定、管理制度（信息管理） ?建立系统运行监视和管理要求 ISO20000认证第五阶段： ?建立供应商管理与考评机制 ?建立服务成本管理控制体系 ?建立业务关系管理框架 ?建立客户沟通管理体系 ?收集和改进客户的满意度 ?关注客户的投诉 ?关注服务体系和服务质量的改进 ISO20000认证第六阶段： ?内部审核与优化改进 ?正式审核与体系维持 1.3ISO20000实施方法 1.3.1开展培训、职能分工 ?学习培训 A.全员培训，掌握ISO20000基础知识、标准的内容、基本要求、实施办法、推行ISO20000意义和计划； B.骨干培训，了解ISO20000标准的基本内容、2)领导在体系中的作用，为什麽要推行及如何推行ISO20000； C.文件编写技能培训，IT服务管理体系文件总论、IT服务质量管理手册编写、程式文件编写、工作文件编写、管理计划制定、管理记录； ?建立组织职能 A.领导小组积极地带头叁加学习ISO20000认证基础知识，提供给出人力和物力支援，成立领导小组，任命管理代表，负责标准中规定的职责并及时处理有关重大问题，组织管理评审。 B.为了推行ISO20000，公司应成立专门工作机构，负责全公司推行ISO20000组织协调工作，作爲一个办事核心。应保证所有各有关部门都能叁与工作小组，有专职人员和骨干力量，骨干人员应对ISO20000有较系统的学习， 有一定相关工作经历； C.公司应按标准要求任命管理者代表，确保按照标准规定建立、实施和维持IT服务管理体系要求，向管理者报告体系的执行情况，以便评审和改进管理体系，管理者代表的职责还可以包括就IT服务质量管理体系方面与外部机构的联络。 ?系统调查与诊断 A.诊断现有体系与标准的符合性，找出与标准之间差距和形成这些差距原因。识别确定对服务质量管理体系进行修改的内容； B.实施诊断员可以是公司内部的人员，也可以公司委托的外部机构，如咨询机构的人员，因此实施诊断的人员可以有内部审核员、第三方审核机构的人员; C.确定诊断小组出具诊断依据和诊断物件，制订诊断计划，编制诊断工作文件，现场诊断检查，提交诊断报告； ?体系设计 A.制订IT服务质量管理方针； B.任命管理者代表主要责任，协助管理者确保按标准的要求建立IT服务质量管理体系，负责体系的实施和维护，负责组织内部管理体系审核，向 管理者报告体系执行情况，以便评审和改进； C.设计调整组织机构，明确各部门职责应覆盖标准要求、职责、职能分工形成书面文件； D.确定新体系中文件结构、典型文件层次。 1.3.2编写文件、试点运行 ?编写文件 A.列出IT服务质量管理手册 B.分配文件编写任务 C.各部门叁与起草工作流程 D.文件批准发效 ?试点运行 A.体系交底 B.培训、宣传 C.试运行与完善 1.3.3内部审核、正式运行 ?内部审核、管理评审 A.至少进行一次内部审核，按ISO20000认证要求制订审核计划、审核清单、审核报告、不合格项的跟踪和监督等有关活动记录和文件应保存完好，以便以认证检查。 B.至少安排一次管理评审，以评价新体系的有效性和适用性，同时积累一次管理评审活动记录，评审按程式文件要求进行。 ?正式运行 通过内部审核、管理评审，对体系文件中不切合实际或规定不合适之处进行及时的修改，在一系列修改后，发布第二版质量手册、程式文件进行正式运行。 1.3.4正式审核，体系维持 ?接受所选择的认证机构的正式审核。 ?体系维持与提高 A.检查现场中问题，不断地改进和巩固； B.进一步完善体系文件，加强协调监督工作； C.定期开展内部IT服务质量管理审核和管理评审