ISO20000认证体系信息安全风险评估与管理

ISO20000认证体系信息安全风险评估与管理是企业实施ISO20000认证体系的要点，本篇摘要介绍参考。

ISO20000认证体系风险评估Risk assessment
ISM流程应定期执行风险评估以识别对于现场环境的信息安全风险，并予以记录，然后通过具体的控制预防或减轻所识别风险的影响。此外，ISM流程应确保适当的风险评估作为新的或变更的服务的设计和转换的一部分。
信息安全策略应确保信息安全风险评估：
a) 定期执行，包括新的或变更的服务；
b) 被记录，并仅对授权的人员可见；
c) 业务需求、流程及配置变化时进行维护；
d) 帮助理解什么能影响服务；
e) 详细说明信息安全审核的需求；.
f) 告知关于所运行控制措施类型的决定。
信息资产风险应依据风险的类型和对业务的潜在影响进行评估。
注：具备专业信息安全职责的人员会发现熟悉
ISO/IEC27005,Informationtechnology—Securitytechniques—Informationsecurityriskmanagement是很有帮助的。
ISO20000认证体系-管理信息安全风险Managinginformation security risks
信息安全控制应确保服务提供者有能力实现服务管理目标及安全策略需求。信息安全控制也能促进服务提供者管理所有识别出来的信息安全风险。
信息安全控制举例如下：
a) 应建立并实施信息安全策略，同时与个人、供应商和客户进行沟通；
b) 应确定并分派信息安全管理流程的权限和职责；
c) 应对信息安全策略的有效性进行监控、测量及评估；
d) 承担重要信息安全角色的个人应接受信息安全培训；
e) 帮助实施风险评估和控制实施的专家可用；
f) 变更不会影响控制执行的有效性；
g) 信息安全事件应依据事件和服务请求管理流程进行汇报，并分派适当的优先级；
h) 信息安全事件应依据优先级和所需访问安全事件报告的授权级别将其升级到适当的人员并进行解决；
i) 信息安全事件的细节应只允许恰当的人员可见；
j) 定期执行风险评估以识别组织可容忍风险的变化度；
k) 应定期进行审核以确保符合已建立的信息安全策略和控制；
l) 应确定信息安全基线并有效应用；
m) 应分析信息安全审核发现，并达成优先行动计划;
n) 应建立信息安全培训计划和培训记录并予以更新。
服务提供者应借助供应商管理流程以确保识别、记录并管理能访问或使用服务提供者信息的外部组织的信息安全控制。