ISO27001信息安全只和企业自身有关吗

ISO27001信息安全风险不仅要考虑风险发生的可能性和由此而引|起的可能后果,而且要在单一风险基础上,同时考虑各项风险之间的相互关系,对综合安全风险进行分析和评估。因此,信息安全肯定不仅仅和企业自身有关。

我们都知道信息安全风险分为:人员风险、组织风险、物理环境风险、信息机密性/完整性风险、系统风险、通信操作风险、基础设施风险、业务连续性风险、第三方风险、风险评估风险、法律风险和风险决策风险共十二个方面。

其中,第三方风险值得企业重视,第三方指服务供应商、销售商。随着外包业务的兴起,许多组织业务依赖于供应商和销售商的服务提供,由于不完备的台同、第三方服务能力性能下降、不适应快速增长的业务需求、缺乏第三方的管理经验、产品支持失效、过短的升级周期、功能性不足等多种风险因素,导致第三方服务失效。第三方合作风险要求在合同谈判、转换服务上加强风险管理。


因此,ISO27001信息安全体系要求企业在关注自身的风险的同时,也对第三方风险给予足够的重视。