ISO 27001 資訊安全管理系統【解析】(二十六)

資訊安全

kachung 2022-05-30 08:08:59 ‧ 1046 瀏覽

分享至

風險等級分析
根據事件情景清單，及其對資產和營運過程的後果和可能性（定性的或定量的），對所有相關的事件情景進行風險級別評估，考量對風險的可能性和後果進行賦值、基於後果和可能性的評估及某個事件情景的可能性及其後果的組合等因素，產生一個分配有風險等級數值的風險清單，範例如下：

(三) 風險評估
風險評鑑的最後一個步驟就是風險評估，把前面所有的資訊跟分析的結果進行評估，將風險等級數值的風險清單與風險評價準則和風險接受準則進行比較，以組織整體風險進行考量，必須了解分析出來的結果，以決定採取的控制措施及程度，最後產生出一份根據事件情景之風險評估標準排定優先順序的風險列表，以供後續風險處理的參考，並排定處理的優先順序，以利後續風險處理資源分配的順序。