有。
识别信息安全管理体系控制范围内的信息资产;识别对这些资产的威胁;识别可能被威胁利用的薄弱点;识别保密性、完整性和可用性丢失对这些资产的潜在影响。
根据资产保密性、完整性或可用性丢失的潜在影响,评估由于安全失败(failure)可能引起的商业影响;根据与资产相关的主要威胁、薄弱点及其影响,以及目前实施的控制,评估此类失败发生的现实可能性;根据既定的风险等级准则,确定风险等级。
对于所识别的信息安全风险,组织需要加以分析,区别对待。如果风险满足组织的风险接受方针和准则,那么就有意的、客观的接受风险;对于不可接受的风险组织可以考虑避免风险或者将转移风险;对于不可避免也不可转移的风险应该采取适当的安全控制,将其降低到可接受的水平。
企业是以盈利为目的的,而企业经济收益则是衡量企业经营状况的最主要目标,企业在业务中一旦发生信息安全事件,不但会给企业造成巨大的经济和名誉损失,而且会让用户蒙经济受损失,更可能对社会经济秩序造成扰乱。“企业信息安全就是效益”已经越来越成为社会各界的共识,而企业在信息安全管理投入所产生的效益不像企业日常的业务经营活动那样能够取得最快最直接的经济效果,它具有间接性、隐蔽性、潜在性等特点,因此不容易被人们重视。
内容全部来源于网络收集,如有侵权,请联系网站删除!