ISO27000認證信息風險評估FAQ 深圳ISO27000認證為什么要進行信息風險評估？ 　　通過風險評估，你可以知道組織范圍內存在哪些重要的信息資產、信息處理設施及其面臨的威脅，發(fā)現(xiàn)技術和管理上的脆弱點，綜合評估現(xiàn)有綜合資產的風險狀況。 什么是信息風險評估？ 　　風險評估：對信息及信息載體、應用環(huán)境等各方面風險進行辨識和分析的過程，是對威脅、影響、脆弱性及三者發(fā)生的可能性的評估。它是確認風險及其大小的過程。 　　風險評估為管理層確定具體的策略，以及在“成本-效益”平衡基礎上做決策服務；風險控制措施為組織實施信息的改進提供指導。 信息風險評估的實施的主體是什么？ 　　風險評估可分為自評估和檢查評估兩大類。自評估是由被評估信息系統(tǒng)的擁有者依靠自身的力量，對其自身的信息系統(tǒng)進行的風險評估活動。檢查評估則通常是被評估信息系統(tǒng)的擁有者的上級主管或業(yè)務主管發(fā)起的，旨在依據已經頒布的法規(guī)或標準進行的，具有強制意味的檢查活動，是通過行政手段加強信息的重要措施。 　　檢查評估應該是具有一定資質的風險評估服務機構實施的。自評估可以在信息風險評估服務機構的咨詢、服務、培訓下，由系統(tǒng)所有者和評估服務機構共同完成。 信息風險評估的政策依據及標準依據？ 　　 信息化領導小組《關于加強信息保障工作的意見》(中辦發(fā)[2003]27號文件)將信息風險評估作為一項重要的舉措。國信辦2005年5號文率先在北京、上海、黑龍江、云南等地，以及銀行、稅務、電力三個行業(yè)進行試點，根據試點經驗，各省市建立信息風險評估管理制度。 　　 國信辦標準草案《信息風險評估指南》、《信息風險管理指南》 　　 NIST SP800-30 《Risk Management Guide for Information Technology Systems》 信息風險評估包括哪幾個主要實施階段？ 　　風險評估可以分為資產識別、重要資產賦值、威脅分析、脆弱性識別、風險計算、風險控制措施提出等實施階段。 信息風險評估的主要內容及方法？ 　　信息風險評估的實施主要有以下內容： 　　 （1）資產識別 　　 （2）資產的屬性賦值及權重計算 　　 （3）威脅分析 　　 （4）薄弱點分析 　　 （5）威脅發(fā)生可能性及影響分析 　　 （6）風險計算 　　 （7）風險處理計劃制定 　　 風險評估是一項綜合的系統(tǒng)工程，既涉及到技術，又涉及到管理。風險評估過程中既需要采用技術的檢測手段，又需要進行綜合的歸納、總結和分析方法。 　　 風險評估中資產價值的判斷、威脅判斷、事件造成影響的判斷標準都需要根據被評估實際情況，與被評估方共同確定。 信息風險評估是否會影響系統(tǒng)的業(yè)務正常運行？ 　　除針對服務器的漏洞掃描、診斷及滲透性測試外，風險評估不會對系統(tǒng)的業(yè)務運行造成影響。即使是滲透性測試，也僅僅是為了驗證漏洞存在給系統(tǒng)可能造成的后果（如文件竊取、控制修改關鍵程序/進程等），而不是以破壞系統(tǒng)為目的。評估人員在執(zhí)行滲透性測試前，會將詳細的滲透測試方案與用戶交流，包括滲透測試對象、測試強度、可能后果、提前備份等要求，并經用戶認可后方能實施。 信息風險評估的結果形式是什么？ 　　信息風險評估在評估過程中將生成一系列的風險評估操作記錄，包括：重要資產列表、脆弱性匯總表、資產威脅識別表、資產威脅風險系數(shù)表、信息資產綜合風險值表等， 將生成三份評估結果： 　　 脆弱性評估報告：以資產為核心，描述該資產存在的薄弱點。 　　 風險評估報告：反映了風險評估整個過程、方法、內容及風險結果。 　　 風險處理計劃：針對識別的風險，提出具體的控制目標和控制措施。 信息風險評估的周期有多長　 　　信息風險評估沒有確定的時間周期，一般兩年一次進行定期的評估，但當組織新增信息資產、系統(tǒng)發(fā)生重大變更、業(yè)務流程發(fā)生重大變化、發(fā)生嚴重信息事故等情況下應進行風險評估。 　　 此外，對系統(tǒng)規(guī)劃、擴建時也需要進行風險評估，為需求、策略的制定提供依據。 信息風險評估的收費標準　 　　根據評估對象的不同而不同。風險評估的對象可以是：單個獨立的信息系統(tǒng)、支持組織業(yè)務的整體信息處理環(huán)境、整個組織范圍。信息風險評估的費用主要依據以下幾個方面進行核算： 　　 網絡規(guī)模 　　 聯(lián)網單位或客戶端抽樣比例 　　 被評估系統(tǒng)的多少 　　 被評估信息設備的多少 　　 被評估的組織范圍大小

ISO9001認證企業(yè)中，對于質量管理體系的有效運行，領導所發(fā)揮的作用是首要因素，加強對員工的培訓是基礎，全員參與到ISO9001質量管理體系運行中是根本，顧客關注是質量管理的焦點，過程方法是ISO9001體系有效運行的手段，而持續(xù)改進是體系有效運行的目標。 1、、東莞ISO9001認證堅持體系的持續(xù)改進 持續(xù)改進是組織管理的一個永恒目標。質量管理體系必須不斷完善和改進，不斷地發(fā)現(xiàn)問題，找出原因，進行改進，才能適應企業(yè)的發(fā)展和外部環(huán)境的變化。持續(xù)改進才能使企業(yè)的質量管理體系總是處在良性循環(huán)發(fā)展之中，才能保持質量管理體系的持續(xù)有效運行。一是企業(yè)領導層對質量改進要予以足夠重視，創(chuàng)造必要的條件，包括向每一位員工提供有關持續(xù)改進的方法和工具方面的教育和培訓。二是要鼓勵性的活動，貫徹為主的思想，積極尋求和準確把握進行質量改進的機會。著眼于問題的，而不是等出了問題、造成了質量損失再去改進；三是要周期性按照”卓越””標桿”的準則進行評價，識別具有改進潛力的區(qū)域，同時制定相應的改進措施和目標，以指導和跟蹤改進活動，并且對任何改進給予規(guī)范，以確保持續(xù)改進過程的有效性。 2．東莞ISO9001認證加強質量培訓，提高質量意識 質量體系運行的有效性與員工的質量意識和能力密不可分，若要質量意識加強質量管理水平，就要抓好質量管理培訓。質量管理培訓內容由質量意識、質量知識和質量技能培訓組成，是一個要求不斷提高的縱向過程；對培訓對象而言，是一個從高層領導到質量管理人員，再到一線操作人員的全員培訓，這是一個橫向過程。 質量管理培訓的前提是提高企業(yè)員工的質量意識，首先要求各級員工理解本崗位工作在質量管理體系中的作用和意義，明確并履行各自的崗位職責，為實現(xiàn)企業(yè)的質量目標做出積極貢獻。然后針對所有從事與質量有關的工作的員工進行不同層次的培訓。對領導培訓內容應以質量法律法規(guī)、經營理念、決策方法等著重于質量管理理論和方法以及質量管理的技術內容和人文因素，特別是基層領導干部要正確看待傳統(tǒng)管理方式和質量管理體系標準的異同，正確處理習慣思維與質量管理體系的要求的矛盾，充分發(fā)揮橋梁和紐帶作用。對一線員工培訓則應以本崗位質量控制和質量保證所需知識為主。同時抓好技能培訓，主要指直接為保證和提高工程質量所需的專業(yè)技術和操作技能。對技術人員而言，主要進行專業(yè)技術的更新和補充，學習新方法，掌握新技術；在工作方法和操作技術方面要加強對各類專項人員的培訓，如對內審人員、特殊工序人員、操作人員等。只有不斷加強對體系文件的學習，才能使人人掌握體系文件的要求，加強對質量管理體系基礎的理解，各種誤解，把文件化的標準與實際工作有機地結合起來，真正做到“寫到的就要做到”。 通過扎實的培訓使所有員工明白，質量管理需要各個環(huán)節(jié)的密切配合，需要全員的共同參與。由各部門與各基層單位以及崗位操作者組成質量管理鏈的各個節(jié)點中只要出現(xiàn)一個節(jié)點的失控，都會導致質量管理運行不暢。因此大家都應齊心協(xié)力完成其在服務實現(xiàn)過程中所承擔的工作職能。每位員工必須清楚了解服務符合質量標準或要求的重要性，以及不符合質量標準或要求將會造成的損失，進而自覺地去識別和解決服務過程中隨時可能出現(xiàn)的問題。只有“ 次”就把事情做好，減少差錯，防微杜漸，才可實現(xiàn)以 的成本創(chuàng)造 的效益，體系才能有效運行。 3、東莞ISO9001認證以質量管理體系為基礎，整合各種體系問的關系 任何一個企業(yè)的管理體系均由多個部分構成，如經營管理體系、質量管理體系、財務管理體系，HSE管理體系等，這些體系的運作是相輔相成的，可以將所有的體系整合成一個有機的整體。如果各自為政，企業(yè)文件體系勢必越來越大，越來越亂，重復、抵制或矛盾的文件和制度會與日俱增。整合的方法不妨按照標準化原理，以ISO9001標準制定的質量管理體系為基礎來整合其他體系，整合一定要保持不同體系文件的特殊性和獨立性，同時還要滿足企業(yè)文件管理的系統(tǒng)性和協(xié)調性。對企業(yè)所有的規(guī)范性文件進行”簡化、統(tǒng)一、協(xié)調、優(yōu)化”，達成一致，并盡可能升華為企業(yè)標準，這無疑會對企業(yè)在管理上帶來巨大的效益。企業(yè)標準越多，體系就會越完善，體系完善是對“文山會?！庇行У目刂?。 4、東莞ISO9001認證改善質量投入結構，加強質量管理的過程控制 工藝和技術裝備水平是保證施工質量、提高經濟效益的根本手段，也是質量管理體系有效運行的物質基礎和前提條件。提高工藝和技術裝備水平必須注重質量的投入，必須克服片面強調眼前經濟效益的傾向。要建立健全科學的投入機制，不斷改善質量的投入結構，盡力向教育培訓和加大工藝、技術科技方面傾斜。 質量管理體系是通過過程來實施的，要提高質量管理體系運行的有效性，就必須對過程進行控制。過程控制的重點要抓工藝管理，工藝是工程施工過程中活躍的因素，操作規(guī)程管理、生產管理、材料管理、人力調配、生產環(huán)境等都要由操作規(guī)程提供基本依據(簡稱人、機、料、法、環(huán))。工程質量的符合性主要是施工過程中實施的。加強施工過程中的質量管理，對過程進行嚴格的控制，是提高工程施工質量的有效途徑。這就要求我們對施工過程中的關鍵工序進行識別，強調關鍵過程，對關鍵過程進行重點控制，定期檢查，及時糾正違反規(guī)定的行為。過程的監(jiān)視與測量是ISO9001:2008標準的要求之一，而監(jiān)視與測量活動的有效性與效率，在相當大的程度上了取決于監(jiān)視和測量方法的適應性。適宜的監(jiān)視和測量方法可以引導我們通過對過程的持續(xù)改進達到提率和效益的目標。 5、東莞ISO9001認證強化內審和管理評審的力度 內審和管理評審是企業(yè)質量管理體系的主要自我激勵機制，是實現(xiàn)體系自我完善的重要手段，首先要從時間上、資源上予以保證，做好內審和管理評審的計劃，并務必按計劃進行，并把重點放在產品質量的關鍵過程上。其次是加大審核力度，保證評審質量，內部審核是克服組織的惰性和促使質量體系有效運行的動力，是質量體系自我約束并通過改進達到自我完善的重要手段。內審方式要不斷的改進，要對薄弱的和重要的部門和單位增加審核頻次，對不同階段出現(xiàn)的問題點進行重點審核。對內審出現(xiàn)的不符合項必須抓好糾正和措施的制定、落實及效果檢查，對潛在的不合格有效，通過糾正及措施的實施促進質量管理體系有效運行，使質量體系形成自我改善、自我約束、自我改進的機制。管理評審不僅是為了確定企業(yè)的質量方針、目標的總體是否有效，及時討論和解決質量管理體系的重大問題，更是保證體系持續(xù)改進的重要手段，不僅要解決好評審輸入、還要解決好評審輸出，就是要根據技術進步、市場、質量概念、顧客需求等變化對質量管理體系的適宜性做出評價，以使企業(yè)永不落伍。 6東莞ISO9001認證中領導作用，推動體系有效運行 管理者對質量管理的高度重視和正確的領導方式是提高質量管理體系有效運行的關鍵因素。各級管理者要明確自己在整個質量管理體系中或其中某一過程內，處于什么樣的地位，自己的質量職責是什么，用什么方法去實現(xiàn)，執(zhí)行什么程度，才能滿足質量管理體系的要求。各級管理者必須以身作則，不折不扣地完成自己負責的質量職能及質量活動，并帶動各級相關人員完成質量職責。其次，推行質量目標責任制，將組織的質量職能活動層層分解，落實到人，實施質量目標管理，嚴格考核和獎懲。再次，為有關的過程、部門的質量職能質量活動提供履行質量管理體系要求的指導性文件和評價準則，諸如作業(yè)指導書、評價與驗證規(guī)范等，并配置必要的資源。 ，管理者還要做好組織和協(xié)調工作，強化日常的監(jiān)督管理和信息反饋機制。及時了解、溝通質量管理體系的運行情況以及各部門、各崗位的業(yè)績與問題，針對發(fā)現(xiàn)的問題采取糾正措施與措施。 ISO9001標準描述的質量活動并不涵蓋企業(yè)所需要的所有質量活動，就需要在運行實踐中識別企業(yè)特有的質量活動及其過程控制方法，不斷改進和不斷創(chuàng)新，確保質量體系的適宜性和有效性，保持對市場變化的快速反應。企業(yè)的生命在于持續(xù)的質量改進與創(chuàng)新。