ISO IEC 27005-2018 信息技术安全技术信息安全风险管理--中译本.pdf-资料库

wang_guang-12023352-4744302542874027103.pdf-第1页.png

第1页 / 共42页

wang_guang-12023352-4744302542874027103.pdf-第2页.png

第2页 / 共42页

wang_guang-12023352-4744302542874027103.pdf-第3页.png

第3页 / 共42页

wang_guang-12023352-4744302542874027103.pdf-第4页.png

第4页 / 共42页

wang_guang-12023352-4744302542874027103.pdf-第5页.png

第5页 / 共42页

wang_guang-12023352-4744302542874027103.pdf-第6页.png

第6页 / 共42页

wang_guang-12023352-4744302542874027103.pdf-第7页.png

第7页 / 共42页

wang_guang-12023352-4744302542874027103.pdf-第8页.png

第8页 / 共42页

目录前言引言 1 范围 2 规范性引用文件 3 术语与定义 4 本文件结构 5 背景 6 信息安全风险管理过程概述 7 环境创建 7.1 总则 7.2 基本准则 7.2.1 风险管理方法 7.2.2 风险评估准则 7.2.3 影响准则 7.2.4 风险接受准则 7.3 范围和边界 7.4 信息安全风险管理组织 8 信息安全风险评估 8.1 信息安全风险评估概述 8.2 风险识别 8.2.1 风险识别导论 8.2.2 资产的识别 8.2.3 威胁识别 8 .2.4 现有控件的识别 8.2.5 脆弱点识别 8.2.6 后果的认定 8.3 风险分析 8.3.1 风险分析方法 8.3.2 后果评估 8.3.3 事件可能性评估 8.3.4 风险水平的确定 8.4 风险评估 9 信息安全风险处理 9.1 风险处理概述 9.2 风险修正 9.3 风险保留 9.4 风险规避 9.5 风险转移 10 信息安全风险接受 11 信息安全风险沟通与协商

12 信息安全风险监测与评估 12.1 风险因素的监测与评审 12.2 风险管理的监控、审核和改进附录 A（资料性）信息安全风险管理过程范围和边界的确定附件 B（资料性）资产的识别与评估及影响评估附件 C（资料性）典型威胁实例附录 D（资料性）脆弱性和脆弱性评估方法附录 E（资料性）信息安全风险评估方法附录 F（资料性）风险修正的约束条件参考文献

前言 ISO（国际标准化组织）和 IEC（国际电工委员会）构成了全球标准化的专门系统。作为 ISO 或 IEC 成员的国家机构通过各自组织为处理特定技术活动领域而设立的技术委员会参与制定国际标准。ISO 和 IEC 技术委员会在共同关心的领域进行合作。与 ISO 和 IEC 联络的其他国际组织，政府和非政府组织也参与了这项工作。在信息技术领域，ISO 和 IEC 建立了一个联合技术委员会 ISO/IEC JTC 1。 ISO/IEC 指令第 1 部分描述了用于开发本文件以及用于进一步维护该文件的过程。特别应注意的是，不同类型的文件需要不同的批准标准。本文件是按照 ISO/IEC 指令第 2 部分的编辑规则起草的（见 www .iso .org/directives）。注意到该文件的某些元素可能是专利权的主体。ISO 和 IEC 不应负责识别任何或所有此类专利权利。在文件开发过程中确定的任何专利权的细节将在所收到的专利声明的介绍和 / 或 ISO 清单中（见 www .iso .org/patents）在本文件中使用的任何商品名称都是为了方便用户而提供的信息，并不构成背书。关于标准的自愿性质的解释，有关合格评定的 ISO 特定术语和表达的含义，以及关于 ISO 在技术性贸易壁垒(TBT)中遵守世界贸易组织(WTO)原则的信息，见如下网址： www .iso .org/iso/foreword .html. 本文件由 ISO/IEC JTC 1 技术委员会 SC 27 信息技术 IT 安全技术分委员会编写。本文件中的任何反馈或问题应指向用户的国家标准机构。这些机构的完整列表可在如下网址查找： www .iso .org/members .html. 这第三版在技术上已被修订，取消和替换了第二版（ISO/IEC 27005:2011），与上一版本的主要变化如下： ——所有的 ISO/IEC 27001:2005 的直接引用已被删除； ——已添加明确信息，本文件不包含关于执行 ISO/IEC 27001 中规定的 ISMS 要求的直接指导（见导言）； ——ISO/IEC 27001:2005 已从第 2 章中删除； ——ISO/IEC 27001 已被添加到参考文献目录中； ——附件 G 及其所有引用已被删除； ——据此进行了相应的编辑性修改。引言本文件提供了组织中信息安全风险管理的指导方针。然而，本文没有提供任何具体的信息安全风险管理方法。由组织来确定他们的风险管理方法，这取决于例如信息安全管理体系（ISMS）的范围、风险管理的环境或行业领域。在本文描述的框架下，可以使用许多现有的方法来实现 ISMS 的要求。本文基于 ISO/IEC 27001 不再要求的识别资产、威胁和脆弱性风险的方法，还有一些可以使用的其他方法。本文件不包含关于实施 ISO/IEC 27001 中给出的 ISMS 要求的直接指导。本文件与组织内负责信息安全风险管理的管理人员和工作人员有关，并酌情涉及支持此类活动的外部各方。

1 范围信息技术安全技术信息安全风险管理本文件为信息安全风险管理提供了指导方针。本文件支持 ISO/IEC 27001 中规定的一般概念，旨在帮助基于风险管理方法的信息安全的满意实现。ISO/IEC 27001 和 ISO/IEC 27002 中描述的过程和术语对于完全理解本文件非常重要。本文件适用于所有类型的试图管理可能危及组织信息安全的风险的组织（例如，商业企业、政府机构、非营利组织）。 2 规范性引用文件以下文件在正文中被提及，其部分或全部内容构成本文件的要求。对于注有日期的引用文件，只有引用的版本适用。未注明日期的引用文件，引用文件的最新版本（包括任何修订）适用。 ISO/IEC 27000 信息技术安全技术信息安全管理系统概述和词汇 3 术语和定义就本文件而言，ISO/IEC 27000 和以下给出的术语和定义适用。 ISO 和 IEC 维护用于标准化的术语数据库，地址如下： ---- ISO 在线浏览平台：http://www.iso.org/obp ---- IEC 电子化平台:http://www.electropedia.org 4 本文结构本文件包含信息安全风险管理过程及其活动的描述。背景信息在第 5 章中给出。信息安全风险管理过程的综述在第 6 章中给出。所有信息安全风险管理活动如第 6 章所示随后在以下条款中描述： ——第 7 章：环境创建； ——第 8 章：风险评估 ——第 9 章：风险处理 ——第 10 章：险接受； ——第 11 章：风险沟通； ——第 12 章：风险监测和评估附件中提供了信息安全风险管理活动的其他信息。环境创建由附件 A（信息安全风险管理过程的范围和边界的确定）支持。资产和影响评估的识别和评估在附件 B 中讨论。附录 C 给出典型威胁的例子和附件 D 讨论脆弱性和脆弱性评估方法。附录 E 列出了信息安全风险评估方法的例子。风险修正的约束在附件 F 中给出。第 7 条至第 12 条所列的所有风险管理活动如下：输入：识别执行活动所需的任何信息。动作：描述活动。实施指南：为执行行动提供指导。有些指导可能不适用于所有情况，因此执行其他行动的方式可能更

合适。输出：标识执行该活动后得到的任何信息。 5 背景为了识别组织对信息安全要求和建立有效的信息安全管理体系（ISMS）的需求，必须采用系统的方法进行信息安全风险管理。这种方法应该适合组织的环境，尤其应该与整个企业风险管理保持一致。安全工作应及时有效地解决风险。信息安全风险管理应当是所有信息安全管理活动的一个组成部分，并且应当应用于 ISMS 的实施和正在进行的操作。信息安全风险管理应该是一个持续的过程。该过程应该建立外部和内部环境，评估风险，并使用风险处理计划来处理风险，以执行建议和决策。风险管理在决定应该做什么以及何时将风险降低到可接受的水平之前，分析可能发生的事情和可能的后果。信息安全风险管理应有助于以下： ——识别风险； ——评估风险的后果和发生的可能性； ——沟通和理解这些风险的可能性和后果； ——确定风险处理的优先顺序； ——降低风险的措施优先次序； ——利益相关者参与风险管理决策并随时了解风险管理状况； ——监测风险处理的有效性； ——风险和风险管理过程的定期监测和评审； ——获取信息以改进风险管理方法； ——管理人员和员工受到关于风险和采取行动降低风险的教育。信息安全风险管理过程可应用于整个组织、组织的任何离散部分(例如，部门、物理位置、服务)、任何信息系统、现有的或规划的或受控的特定方面（例如，业务连续性规划）。 6 信息安全风险管理过程概述在 ISO 31000 中给出了风险管理过程的高层示图，如图 1 所示。

图 1 — 风险管理过程图 2 展示了本文件如何应用风险管理过程。信息安全风险管理过程包括环境创建（第 7 条）、风险评估（第 8 条）、风险处理（第 9 条）、风险接受（第 10 条）、风险沟通和协商（第 11 条）以及风险监测和审查（第 11 条）。

图 2—信息安全风险管理过程的说明如图 2 所示，举例说明，信息安全风险管理过程可以被迭代用于风险评估和/或风险处理活动。迭代的风险评估方法可以在每次迭代中增加评估的深度和细节。迭代方法在识别控制所费时间最小化与确保适当地评估高风险的努力之间提供了良好的平衡。首先创建环境。然后，进行风险评估。如果这提供了足够的信息来有效地确定将风险调整到可接受水平所需的行动，那么任务就完成了，随后进行风险处理。如果信息不足，则可能在整个范围的有限部分上进行环境修订（例如，风险评估准则、风险接受准则或影响准则）后的风险评估的另一次迭代（参见图 2，风险决策点 1）。风险处理的有效性取决于风险评估的结果。注意，风险处理包括一个周期性的过程： ——评估风险处理； ——决定剩余风险水平是否可接受； ——如果风险水平不可接受，则产生新的风险处理；和 ——评估处理的有效性。风险处理不可能立即导致可接受的残留风险水平。在这种情况下，如果需要的话，可以要求改变环境参数（例如风险评估、风险接受或影响准则）后的

资料库

ISO IEC 27005-2018 信息技术安全技术信息安全风险管理--中译本.pdf

相关推荐

行业

热门标签

最新资料