软件概述
Info-Riskmanager with ITBPM是基于局域网运行的信息安全风险评估和管理工具软件,用户可以利用该工具软件方便、快速、全面、持续地识别和管理信息安全风险,可用于ISO27001、ISO20000所要求的风险评估和风险管理过程。该工具软件还包含ITBPM(德国IT基线保护手册)的全部“资产-威胁-控制措施”模型,方便用户根据ITBPM建立适用的IT保护机制。
Info-Riskmanager with ITBPM将复杂、繁琐、耗时、多变的风险评估和管理过程转变为简单、直观、快速和易于管理。其评估过程严谨统一,全面细致,结果直观可靠,科学合理,能够大幅度提高风险评估和风险管理的效率和效果。
Info-Riskmanager with ITBPM是科飞在Info-Riskmanager v1.0的基础上,根据国际信息安全风险评估的发展和应用趋势,并充分考虑用户的反馈意见,以改进软件的实用性、方便性为目的进行研发设计的。
产品特点
1.实用性
Info-Riskmanager with ITBPM 既可用于ISO27001所要求信息安全管理体系,也可用于ISO20000所要求的信息安全管理,还适用于按照ITBPM建立信息安全保护机制的机构。
Info-Riskmanager with ITBPM内置ISO27002的全部控制措施(133项)、量化的风险计算模型,以及全部ITBPM基线保护模板,其风险评估过程和结果完全符合ISO27001和ISO27005的要求,对信息资产的管理过程符合ISO27002(原ISO17799)的资产管理要求。
利用Info-Riskmanager with ITBPM内置全部的ITBPM基线保护模型,用户既可以方便的完成ISO27001所要求的全部风险评估和风险管理过程,又能够按照ITBPM的“资产-威胁-控制措施”模型,快速构建适用的IT保护机制。不仅能大幅度的降低风险评估的难度和时间,还可以避免由于评估人员对IT和安全保护知识不熟悉导致识别的风险不完整。
Info-Riskmanager with ITBPM内置量化的风险管理模型,用户可以在ITBPM的基础上,进一步识别资产、威胁、薄弱点,深化风险评估。
Info-Riskmanager with ITBPM能对法律法规要求、顾客及合同要求,以及组织自身发展要求所导致的信息安全需求进行管理。
2.符合性
Info-Riskmanager with ITBPM是按照ISO27001所要求的风险评估和风险管理进行设计的,并符合ISO27005、ITBPM、ISO13335-3的要求。其风险评估过程包括:资产分类识别、资产重要度评估、威胁识别、薄弱点识别、风险计算与分类、控制方式与控制措施选择、制定风险控制计划、计算剩余风险。
Info-Riskmanager with ITBPM将ISO27001和ISO27005要求的风险评估过程与ITBPM(德国IT基线保护手册)完整地结合到一起。软件内置最新版ITBPM的全部保护模型,包括资产类别(7大类,62子类)、威胁(5大类,370项)和控制措施(6大类,856项)。
3.保密性
Info-Riskmanager with ITBPM能充分保护风险评估的结果,通过数据集中管理、权限设置等措施,防止由于风险评估结果外泄造成的风险。风险评估是一把双刃剑,组织可以通过风险评估,发现风险,进而控制风险。但是,风险评估结果本身对组织也是一项威胁,如果保管不当,被泄漏出去,则攻击者将全面了解组织的风险所在,可以发起有的放矢的攻击。因此,必须妥善保护风险评估的结果。传统的风险评估一般利用Excel表格完成,非常容易利用E-mail,U盘等媒体传递,造成风险。
4.方便性
Info-Riskmanager with ITBPM内置完整的风险计算模型和ITBPM模型,无需另行制定其他评估程序,在进行资产分类、CIAL赋值(保密性、完整性、可用性、合规性);威胁分类、薄弱点分类、可能性赋值、影响赋值、有效性赋值、控制措施分类等过程中,操作者仅需鼠标点选即可,方便易用。
Info-Riskmanager with ITBPM能根据软件内置的风险模型自动计算、分析和评价重要资产、风险等级、重要风险、剩余风险等。
Info-Riskmanager with ITBPM能够自动完成对信息资产和风险的分析,生成ISO27001所要求的《资产识别表》、《重要资产清单》、《风险评估报告》、《风险处理计划》、《适用性声明(SoA)》等必备的文件。
5.连续性
Info-Riskmanager with ITBPM 能对同一资产进行不限次数的风险评估,及时反映风险的变化。风险随环境的变化而变化,为了有效的控制风险,就需要连续不断的对风险进行评估。ISO/IEC27001要求每年至少评估一次,特殊情况随时评估。
