关于ISO27001认证的安全评估要点

企业申请ISO27001认证，一定会有安全评估这个环节。评估企业信息安全是指保障企业业务系统不被非法访问、利用和篡改，为企业员工提供安全、可信的服务，保证信息系统的可用性、完整性和保密性。其中，应该注意两方面的内容：

①企业安全管理类。通过企业的安全控制现状调查、访谈、文档研读和ISO27001的最佳实践比对，以及在行业的经验上进行“差距分析”，检查企业在安全控制层面上存在的弱点，从而为安全措施的选择提供依据。
评估内容包括ISO27001所涵盖的与信息安全管理体系相关的11个方面，包括信息安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理、符合性。
②企业安全技术类。基于资产安全等级的分类，通过对信息设备进行的安全扫描、安全设备的配置，检查分析现有网络设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点，为安全加固提供依据。
针对企业具有代表性的关键应用进行安全评估。关键应用的评估方式采用渗透测试的方法，在应用评估中将对应用系统的威胁、弱点进行识别，分析其和应用系统的安全目标之间的差距，为后期改造提供依据。
提到安全评估，一定要有方法论。我们以ISO27001为核心，并借鉴国际常用的几种评估模型的优点，同时结合企业自身的特点，建立风险评估模型。
在风险评估模型中，主要包含信息资产、弱点、威胁和风险四个要素。每个要素有各自的属性，信息资产的属性是资产价值，弱点的属性是弱点在现有控制措施的保护下，被威胁利用的可能性以及被威胁利用后对资产带来影响的严重程度，威胁的属性是威胁发生的可能性及其危害的严重程度，风险的属性是风险级别的高低。风险评估采用定性的风险评估方法，通过分级别的方式进行赋值。