信息资产的评估是一种静态的评估,
报告选择最主要的风险,无需体现所有的人问题。
1.风险评估
资产识别
风险分析:威胁、弱点
举例:公式法
资产价值*弱点值*威胁值=风险等级
红黄绿
风险处置
接受,降低,避免,转移
2.安全规划
架构设计
任务识别
任务排序
实施蓝图
3.体系建设
信息安全管理体系发布
文件修改:一级文件、二级文件、三级文件、四级文件
文件编写:ISMS体系文件清单
确定框架:适用性声明
SoA适用性声明(statement of applicability)