(2)確定息風(fēng)險評估的范圍

 

  既定的ISO27001息風(fēng)險評估可能只針對組織全部資產(chǎn)的一個子集，評估范圍必須明確。描述范圍重要的是對于評估邊界的描述。評估的范圍可能是單個系統(tǒng)或者是多個關(guān)聯(lián)的系統(tǒng)比較好的方法是按照物理邊界和邏輯邊界來描述某次風(fēng)險評估的范圍。

 

  (3)組建適當(dāng)?shù)脑u估管理與實施團(tuán)隊

 

  在評估的準(zhǔn)備階段，評估組織應(yīng)成立專門的評估團(tuán)隊，具體執(zhí)行組織的息風(fēng)險評估。團(tuán)隊成員應(yīng)包括評估單位領(lǐng)導(dǎo)、息風(fēng)險評估專家、技術(shù)專家，還應(yīng)該包括管理層、業(yè)務(wù)部門、人力資源、IT系統(tǒng)和來自用戶的代表。

 

(5)確定息風(fēng)險評估依據(jù)和方法

 

  ISO27001息風(fēng)險評估依據(jù)包括現(xiàn)有國際或 有關(guān)息標(biāo)準(zhǔn)、組織的行業(yè)主管的業(yè)務(wù)系統(tǒng)的要求和制度、組織的息系統(tǒng)互聯(lián)單位的要求、組織的息系統(tǒng) 本身的實時性或性能要求等。根據(jù)息評估風(fēng)險依據(jù)，并綜合考慮息K險評估的目的、范圍、時間、效果、評估人員素質(zhì)等因素，選擇具體的風(fēng)險計算方 法，并依據(jù)組織業(yè)務(wù)實施對系統(tǒng)運(yùn)行的需求.確定相關(guān)的評估剡斷依據(jù)，使之能夠與組織壞境和要求相適應(yīng)。