ISO27000認(rèn)證信息風(fēng)險(xiǎn)評(píng)估FAQ 深圳ISO27000認(rèn)證為什么要進(jìn)行信息風(fēng)險(xiǎn)評(píng)估？ 　　通過(guò)風(fēng)險(xiǎn)評(píng)估，你可以知道組織范圍內(nèi)存在哪些重要的信息資產(chǎn)、信息處理設(shè)施及其面臨的威脅，發(fā)現(xiàn)技術(shù)和管理上的脆弱點(diǎn)，綜合評(píng)估現(xiàn)有綜合資產(chǎn)的風(fēng)險(xiǎn)狀況。 什么是信息風(fēng)險(xiǎn)評(píng)估？ 　　風(fēng)險(xiǎn)評(píng)估：對(duì)信息及信息載體、應(yīng)用環(huán)境等各方面風(fēng)險(xiǎn)進(jìn)行辨識(shí)和分析的過(guò)程，是對(duì)威脅、影響、脆弱性及三者發(fā)生的可能性的評(píng)估。它是確認(rèn)風(fēng)險(xiǎn)及其大小的過(guò)程。 　　風(fēng)險(xiǎn)評(píng)估為管理層確定具體的策略，以及在“成本-效益”平衡基礎(chǔ)上做決策服務(wù)；風(fēng)險(xiǎn)控制措施為組織實(shí)施信息的改進(jìn)提供指導(dǎo)。 信息風(fēng)險(xiǎn)評(píng)估的實(shí)施的主體是什么？ 　　風(fēng)險(xiǎn)評(píng)估可分為自評(píng)估和檢查評(píng)估兩大類(lèi)。自評(píng)估是由被評(píng)估信息系統(tǒng)的擁有者依靠自身的力量，對(duì)其自身的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)。檢查評(píng)估則通常是被評(píng)估信息系統(tǒng)的擁有者的上級(jí)主管或業(yè)務(wù)主管發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的，具有強(qiáng)制意味的檢查活動(dòng)，是通過(guò)行政手段加強(qiáng)信息的重要措施。 　　檢查評(píng)估應(yīng)該是具有一定資質(zhì)的風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)實(shí)施的。自評(píng)估可以在信息風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)的咨詢、服務(wù)、培訓(xùn)下，由系統(tǒng)所有者和評(píng)估服務(wù)機(jī)構(gòu)共同完成。 信息風(fēng)險(xiǎn)評(píng)估的政策依據(jù)及標(biāo)準(zhǔn)依據(jù)？ 　　 信息化領(lǐng)導(dǎo)小組《關(guān)于加強(qiáng)信息保障工作的意見(jiàn)》(中辦發(fā)[2003]27號(hào)文件)將信息風(fēng)險(xiǎn)評(píng)估作為一項(xiàng)重要的舉措。國(guó)信辦2005年5號(hào)文率先在北京、上海、黑龍江、云南等地，以及銀行、稅務(wù)、電力三個(gè)行業(yè)進(jìn)行試點(diǎn)，根據(jù)試點(diǎn)經(jīng)驗(yàn)，各省市建立信息風(fēng)險(xiǎn)評(píng)估管理制度。 　　 國(guó)信辦標(biāo)準(zhǔn)草案《信息風(fēng)險(xiǎn)評(píng)估指南》、《信息風(fēng)險(xiǎn)管理指南》 　　 NIST SP800-30 《Risk Management Guide for Information Technology Systems》 信息風(fēng)險(xiǎn)評(píng)估包括哪幾個(gè)主要實(shí)施階段？ 　　風(fēng)險(xiǎn)評(píng)估可以分為資產(chǎn)識(shí)別、重要資產(chǎn)賦值、威脅分析、脆弱性識(shí)別、風(fēng)險(xiǎn)計(jì)算、風(fēng)險(xiǎn)控制措施提出等實(shí)施階段。 信息風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容及方法？ 　　信息風(fēng)險(xiǎn)評(píng)估的實(shí)施主要有以下內(nèi)容： 　　 （1）資產(chǎn)識(shí)別 　　 （2）資產(chǎn)的屬性賦值及權(quán)重計(jì)算 　　 （3）威脅分析 　　 （4）薄弱點(diǎn)分析 　　 （5）威脅發(fā)生可能性及影響分析 　　 （6）風(fēng)險(xiǎn)計(jì)算 　　 （7）風(fēng)險(xiǎn)處理計(jì)劃制定 　　 風(fēng)險(xiǎn)評(píng)估是一項(xiàng)綜合的系統(tǒng)工程，既涉及到技術(shù)，又涉及到管理。風(fēng)險(xiǎn)評(píng)估過(guò)程中既需要采用技術(shù)的檢測(cè)手段，又需要進(jìn)行綜合的歸納、總結(jié)和分析方法。 　　 風(fēng)險(xiǎn)評(píng)估中資產(chǎn)價(jià)值的判斷、威脅判斷、事件造成影響的判斷標(biāo)準(zhǔn)都需要根據(jù)被評(píng)估實(shí)際情況，與被評(píng)估方共同確定。 信息風(fēng)險(xiǎn)評(píng)估是否會(huì)影響系統(tǒng)的業(yè)務(wù)正常運(yùn)行？ 　　除針對(duì)服務(wù)器的漏洞掃描、診斷及滲透性測(cè)試外，風(fēng)險(xiǎn)評(píng)估不會(huì)對(duì)系統(tǒng)的業(yè)務(wù)運(yùn)行造成影響。即使是滲透性測(cè)試，也僅僅是為了驗(yàn)證漏洞存在給系統(tǒng)可能造成的后果（如文件竊取、控制修改關(guān)鍵程序/進(jìn)程等），而不是以破壞系統(tǒng)為目的。評(píng)估人員在執(zhí)行滲透性測(cè)試前，會(huì)將詳細(xì)的滲透測(cè)試方案與用戶交流，包括滲透測(cè)試對(duì)象、測(cè)試強(qiáng)度、可能后果、提前備份等要求，并經(jīng)用戶認(rèn)可后方能實(shí)施。 信息風(fēng)險(xiǎn)評(píng)估的結(jié)果形式是什么？ 　　信息風(fēng)險(xiǎn)評(píng)估在評(píng)估過(guò)程中將生成一系列的風(fēng)險(xiǎn)評(píng)估操作記錄，包括：重要資產(chǎn)列表、脆弱性匯總表、資產(chǎn)威脅識(shí)別表、資產(chǎn)威脅風(fēng)險(xiǎn)系數(shù)表、信息資產(chǎn)綜合風(fēng)險(xiǎn)值表等， 將生成三份評(píng)估結(jié)果： 　　 脆弱性評(píng)估報(bào)告：以資產(chǎn)為核心，描述該資產(chǎn)存在的薄弱點(diǎn)。 　　 風(fēng)險(xiǎn)評(píng)估報(bào)告：反映了風(fēng)險(xiǎn)評(píng)估整個(gè)過(guò)程、方法、內(nèi)容及風(fēng)險(xiǎn)結(jié)果。 　　 風(fēng)險(xiǎn)處理計(jì)劃：針對(duì)識(shí)別的風(fēng)險(xiǎn)，提出具體的控制目標(biāo)和控制措施。 信息風(fēng)險(xiǎn)評(píng)估的周期有多長(zhǎng)　 　　信息風(fēng)險(xiǎn)評(píng)估沒(méi)有確定的時(shí)間周期，一般兩年一次進(jìn)行定期的評(píng)估，但當(dāng)組織新增信息資產(chǎn)、系統(tǒng)發(fā)生重大變更、業(yè)務(wù)流程發(fā)生重大變化、發(fā)生嚴(yán)重信息事故等情況下應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。 　　 此外，對(duì)系統(tǒng)規(guī)劃、擴(kuò)建時(shí)也需要進(jìn)行風(fēng)險(xiǎn)評(píng)估，為需求、策略的制定提供依據(jù)。 信息風(fēng)險(xiǎn)評(píng)估的收費(fèi)標(biāo)準(zhǔn)　 　　根據(jù)評(píng)估對(duì)象的不同而不同。風(fēng)險(xiǎn)評(píng)估的對(duì)象可以是：?jiǎn)蝹€(gè)獨(dú)立的信息系統(tǒng)、支持組織業(yè)務(wù)的整體信息處理環(huán)境、整個(gè)組織范圍。信息風(fēng)險(xiǎn)評(píng)估的費(fèi)用主要依據(jù)以下幾個(gè)方面進(jìn)行核算： 　　 網(wǎng)絡(luò)規(guī)模 　　 聯(lián)網(wǎng)單位或客戶端抽樣比例 　　 被評(píng)估系統(tǒng)的多少 　　 被評(píng)估信息設(shè)備的多少 　　 被評(píng)估的組織范圍大小

SO20000認(rèn)證實(shí)施 階段： ?管理現(xiàn)狀調(diào)查與差距分析 ?體系培訓(xùn)與學(xué)習(xí) ISO20000認(rèn)證第二階段： ?規(guī)劃體系的基本架構(gòu) ?建立服務(wù)級(jí)別管理 ?建立服務(wù)臺(tái)管理體系 ?建立事件管理體系 ?建立問(wèn)題管理體系 ?規(guī)范日常管理制度 ISO20000認(rèn)證第三階段： ?建立配置管理體系 ?建立變更管理制度和發(fā)布管理制度 ISO20000認(rèn)證第四階段： ?建立業(yè)務(wù)連續(xù)性管理框架，制定應(yīng)用統(tǒng)的應(yīng)急預(yù)案 ?建立系統(tǒng)規(guī)劃?rùn)C(jī)制（可用性管理和容量管理），規(guī)劃系統(tǒng)的容量和可用性 ?建立系統(tǒng)運(yùn)行的規(guī)定、管理制度（信息管理） ?建立系統(tǒng)運(yùn)行監(jiān)視和管理要求 ISO20000認(rèn)證第五階段： ?建立供應(yīng)商管理與考評(píng)機(jī)制 ?建立服務(wù)成本管理控制體系 ?建立業(yè)務(wù)關(guān)系管理框架 ?建立客戶溝通管理體系 ?收集和改進(jìn)客戶的滿意度 ?關(guān)注客戶的投訴 ?關(guān)注服務(wù)體系和服務(wù)質(zhì)量的改進(jìn) ISO20000認(rèn)證第六階段： ?內(nèi)部審核與優(yōu)化改進(jìn) ?正式審核與體系維持 1.3ISO20000實(shí)施方法 1.3.1開(kāi)展培訓(xùn)、職能分工 ?學(xué)習(xí)培訓(xùn) A.全員培訓(xùn)，掌握ISO20000基礎(chǔ)知識(shí)、標(biāo)準(zhǔn)的內(nèi)容、基本要求、實(shí)施辦法、推行ISO20000意義和計(jì)劃； B.骨干培訓(xùn)，了解ISO20000標(biāo)準(zhǔn)的基本內(nèi)容、2)領(lǐng)導(dǎo)在體系中的作用，為什麼要推行及如何推行ISO20000； C.文件編寫(xiě)技能培訓(xùn)，IT服務(wù)管理體系文件總論、IT服務(wù)質(zhì)量管理手冊(cè)編寫(xiě)、程式文件編寫(xiě)、工作文件編寫(xiě)、管理計(jì)劃制定、管理記錄； ?建立組織職能 A.領(lǐng)導(dǎo)小組積極地帶頭叁加學(xué)習(xí)ISO20000認(rèn)證基礎(chǔ)知識(shí)，提供給出人力和物力支援，成立領(lǐng)導(dǎo)小組，任命管理代表，負(fù)責(zé)標(biāo)準(zhǔn)中規(guī)定的職責(zé)并及時(shí)處理有關(guān)重大問(wèn)題，組織管理評(píng)審。 B.為了推行ISO20000，公司應(yīng)成立專(zhuān)門(mén)工作機(jī)構(gòu)，負(fù)責(zé)全公司推行ISO20000組織協(xié)調(diào)工作，作爲(wèi)一個(gè)辦事核心。應(yīng)保證所有各有關(guān)部門(mén)都能叁與工作小組，有專(zhuān)職人員和骨干力量，骨干人員應(yīng)對(duì)ISO20000有較系統(tǒng)的學(xué)習(xí)， 有一定相關(guān)工作經(jīng)歷； C.公司應(yīng)按標(biāo)準(zhǔn)要求任命管理者代表，確保按照標(biāo)準(zhǔn)規(guī)定建立、實(shí)施和維持IT服務(wù)管理體系要求，向管理者報(bào)告體系的執(zhí)行情況，以便評(píng)審和改進(jìn)管理體系，管理者代表的職責(zé)還可以包括就IT服務(wù)質(zhì)量管理體系方面與外部機(jī)構(gòu)的聯(lián)絡(luò)。 ?系統(tǒng)調(diào)查與診斷 A.診斷現(xiàn)有體系與標(biāo)準(zhǔn)的符合性，找出與標(biāo)準(zhǔn)之間差距和形成這些差距原因。識(shí)別確定對(duì)服務(wù)質(zhì)量管理體系進(jìn)行修改的內(nèi)容； B.實(shí)施診斷員可以是公司內(nèi)部的人員，也可以公司委托的外部機(jī)構(gòu)，如咨詢機(jī)構(gòu)的人員，因此實(shí)施診斷的人員可以有內(nèi)部審核員、第三方審核機(jī)構(gòu)的人員; C.確定診斷小組出具診斷依據(jù)和診斷物件，制訂診斷計(jì)劃，編制診斷工作文件，現(xiàn)場(chǎng)診斷檢查，提交診斷報(bào)告； ?體系設(shè)計(jì) A.制訂IT服務(wù)質(zhì)量管理方針； B.任命管理者代表主要責(zé)任，協(xié)助管理者確保按標(biāo)準(zhǔn)的要求建立IT服務(wù)質(zhì)量管理體系，負(fù)責(zé)體系的實(shí)施和維護(hù)，負(fù)責(zé)組織內(nèi)部管理體系審核，向 管理者報(bào)告體系執(zhí)行情況，以便評(píng)審和改進(jìn)； C.設(shè)計(jì)調(diào)整組織機(jī)構(gòu)，明確各部門(mén)職責(zé)應(yīng)覆蓋標(biāo)準(zhǔn)要求、職責(zé)、職能分工形成書(shū)面文件； D.確定新體系中文件結(jié)構(gòu)、典型文件層次。 1.3.2編寫(xiě)文件、試點(diǎn)運(yùn)行 ?編寫(xiě)文件 A.列出IT服務(wù)質(zhì)量管理手冊(cè) B.分配文件編寫(xiě)任務(wù) C.各部門(mén)叁與起草工作流程 D.文件批準(zhǔn)發(fā)效 ?試點(diǎn)運(yùn)行 A.體系交底 B.培訓(xùn)、宣傳 C.試運(yùn)行與完善 1.3.3內(nèi)部審核、正式運(yùn)行 ?內(nèi)部審核、管理評(píng)審 A.至少進(jìn)行一次內(nèi)部審核，按ISO20000認(rèn)證要求制訂審核計(jì)劃、審核清單、審核報(bào)告、不合格項(xiàng)的跟蹤和監(jiān)督等有關(guān)活動(dòng)記錄和文件應(yīng)保存完好，以便以認(rèn)證檢查。 B.至少安排一次管理評(píng)審，以評(píng)價(jià)新體系的有效性和適用性，同時(shí)積累一次管理評(píng)審活動(dòng)記錄，評(píng)審按程式文件要求進(jìn)行。 ?正式運(yùn)行 通過(guò)內(nèi)部審核、管理評(píng)審，對(duì)體系文件中不切合實(shí)際或規(guī)定不合適之處進(jìn)行及時(shí)的修改，在一系列修改后，發(fā)布第二版質(zhì)量手冊(cè)、程式文件進(jìn)行正式運(yùn)行。 1.3.4正式審核，體系維持 ?接受所選擇的認(rèn)證機(jī)構(gòu)的正式審核。 ?體系維持與提高 A.檢查現(xiàn)場(chǎng)中問(wèn)題，不斷地改進(jìn)和鞏固； B.進(jìn)一步完善體系文件，加強(qiáng)協(xié)調(diào)監(jiān)督工作； C.定期開(kāi)展內(nèi)部IT服務(wù)質(zhì)量管理審核和管理評(píng)審

一部分：標(biāo)準(zhǔn)基礎(chǔ)知識(shí)簡(jiǎn)介 一、IATF16949：2016汽車(chē)行業(yè)管理體系標(biāo)準(zhǔn)價(jià)值定位 基于價(jià)值的管理標(biāo)準(zhǔn) IATF16949:2016的概述和歷史 IATF國(guó)際汽車(chē)特別工作組簡(jiǎn)介 IATF16949：2016的新版變化背景 IATF16949：2016的目標(biāo) 二、IATF16949：2016新標(biāo)準(zhǔn)變化特點(diǎn) IATF16949：2016的標(biāo)準(zhǔn)結(jié)構(gòu)變化 ISO/TS16949：2009轉(zhuǎn)換至IATF16949：2016關(guān)鍵節(jié)點(diǎn) 新版標(biāo)準(zhǔn)轉(zhuǎn)換注意事項(xiàng) 顧客特殊要求介紹 三、汽車(chē)行業(yè)過(guò)程方法論 IATF16949過(guò)程方法論 顧客導(dǎo)向過(guò)程、支持過(guò)程及管理過(guò)程的定義與基本概念 基于核心過(guò)程的質(zhì)量管理體系模式 組織的章魚(yú)圖 IATF建議的“烏龜圖”(海龜圖) 如何在組織中有效識(shí)別和管理眾多關(guān)聯(lián)過(guò)程 練習(xí)與案例分析 四、質(zhì)量管理體系基本管理原則 質(zhì)量管理原則在標(biāo)準(zhǔn)要求 質(zhì)量管理原則在組織中的意義 質(zhì)量管理原則應(yīng)用示列 推行IATF16949的意義 第二部分：標(biāo)準(zhǔn)解析 五、質(zhì)量管理體系標(biāo)準(zhǔn)培訓(xùn) IATF16949的實(shí)施的目標(biāo) 汽車(chē)行業(yè)質(zhì)量管理體系范圍 刪減要求與說(shuō)明 汽車(chē)行業(yè)的名詞與相關(guān)概念 質(zhì)量管理體系文件及構(gòu)架 標(biāo)準(zhǔn)條款解析 核心工具簡(jiǎn)介及應(yīng)用 控制計(jì)劃意義與作用 案例練習(xí)與實(shí)踐 第三部分：審核及審核技巧 六、審核總論 質(zhì)量審核的定義和范疇 質(zhì)量體系審核的目的和分類(lèi) 審核的范圍和依據(jù) 審核的時(shí)機(jī)和頻度 審核的基本流程 審核策劃和準(zhǔn)備 七、審核的策劃 審核系統(tǒng)策劃－－審核計(jì)劃 審核準(zhǔn)備 －過(guò)程方法在審核中應(yīng)用 －審核員資質(zhì)和能力 －第二方審核員 －過(guò)程方法檢查表編制 案例練習(xí)與實(shí)踐 八、審核的實(shí)施 首次、末次會(huì)議 現(xiàn)場(chǎng)審核 不合格報(bào)告 審核組會(huì)議 案例分析、情境模擬與練習(xí) 審核的驗(yàn)證、跟蹤 審核報(bào)告 VDA6.3過(guò)程審核 VDA6.5產(chǎn)品審核 九、審核員素質(zhì)和審核技巧 審核員的職責(zé) 審核組長(zhǎng)的職責(zé) 合格審核員應(yīng)具備的能力 核心工具認(rèn)知要求 合格的審核員應(yīng)掌握的知識(shí) 事例與情境模擬 十、