《信息安全风险管理》标准简介

2008/12/11 15:22:00

     国际标准化组织(ISO)于2008年6月15日正式发布了ISO/IEC27005:2008，即“信息技术 安全技术 信息安全风险管理”。该标准作为信息安全管理系列标准之一，为组织的信息安全风险管理提供了指南，特别为遵循ISO/IEC27001的组织提供支持。

该标准由范围、规范性引用文件、术语和定义、本国际标准的结构、背景、信息安全风险管理过程概述、确定范围、信息安全风险评估、信息安全风险处置、信息安全风险的接受、信息安全风险的沟通、信息安全监视和评审等十二个部分，以及6个资料性附录(即界定信息安全风险管理过程的范围和边界、资产的识别和赋值以及影响评估、典型威胁示例、脆弱点和脆弱性评估方法、信息安全风险评估方法、降低风险的约束)组成。

信息安全风险管理是一个持续的过程，该过程由确定范畴（条款7）、风险评估（条款 8）、风险处理（条款 9）、风险接受（条款10）、风险沟通（条款 11）以及风险监视和评审（条款12）组成。

风险评估：对各种进行识别、并进行定量或定性的描述，并依据风险评价准则和与组织目标的相关性进行排序。风险评估包括风险识别(包括资产的识别、威胁的识别、脆弱点的识别、现有控制措施有效性的识别、资产丧失保密性/完整性/可用性的后果识别)、风险估算、风险评价等。

风险处理：选择风险降低、风险保持、风险归避和风险转移等控制措施，并制定风险处置计划。

风险接受：承担责任的管理者对被提议的风险处理计划和随之而来的残余风险的评审和批准。

风险沟通：组织和其他利益相关方之间交换/或共享风险信息以达成共识。沟通的信息包括但不限于，风险的存在、性质、形式、可能性、严重性、处理和可接受性。沟通还应该是双向的。

监视和评审：风险不是静态的，威胁、脆弱点、可能性和后果都有可能发生变化，因此必须持续进行监视以发现这些变化，不断改进组织的信息安全管理。风险监视活动应定期重复进行，并周期性评审风险处理的选项。

在ISO/IEC 27001中，在“计划(Plan)”阶段，要确定ISMS 的范围和边界、风险评估、制定风险处置计划以及风险接受；在“实施(Do)”阶段，按照风险处置计划实施降低风险所需的活动和控制措施；在 “检查(Check)”阶段，管理者根据事件和环境的变化，确定是否需要修订风险评估和风险处置；在“改进(Act)”阶段，执行任何需要的活动，包括信息安全风险管理过程的补充应用。表1给出了ISMS过程的四个阶段相关的信息安全风险管理活动。

表1  ISMS 和信息安全风险管理过程的对应关系