ISO27001认证体系设计的思路方法

ISO27001认证信息安全风险评估是对信息在产生、存储、传输等过程中其机密性、完整性、可用性遭到破坏的可能性及由此产生的后果所做的估计或者估价，是组织确定信息安全需求的过程。在对企业各类风险产生的成因和不稳定性进行充分考虑后，本文针对我国大中型企业实际运营状况的前提下，对企业风险进行企业不同层次上和业务操作 风险上的风险评估操作。

在企业各个层次风险评估上建立一个风险指标系统，设计 一个风险计算模型来计算出企业的基本风险值，通过对企业各个层次上的风险评估来对企业整体固定的风险状况进行反映。此外，因为企业层次方面是比较固定稳定 的风险，因此对这些风险的评估次数尽量少些。本文对其一年进行一次评估，最终得出一个风险综合值。

主要针对业务操作过程中风险因素的复杂情况，本文在业务操作方面也建立一个风险指标系统、同样用设计的风险计算模型来计算出该企业的实时风险值， 该方面的风险评估测试主要是为了对业务部门运行过程中的风险状况进行实时的反映。由于业务活动操作面临的风险是动态的且是复杂的，因此对其进行风险评估的 操作频率要高，可以每个月或是每个季度测试一次，从而计算出实时风险值，年终再结合这两个方面的风险值。只要通过这套风险评估体系的实施，企业就可以清楚 掌握和及时了解企业自身的整体信息安全风险程度，从而提高企业的信息安全管理的水平。

针对大中型企业实际运营情况，下面分别对企业可能面临的信息安全风险外部因素和内部因素进行了汇总操作。通过汇总表显示得知，企业运营过程中时刻面临着风 险，每一个风险形成的风险因素不同，且每项的风险因素还包括若干风险子因素，每个风险子因素都有可能有一个或是多个衡量指标相对应，而每个衡量指标都会得 到一个风险评估结果。

ISO27001企业信息安全风险评估体系过程中的所有下一级的风险水平都直接影响同层次的上一级的风险水平，且上一级的水平都是由下级的风险水平确定得知。