《信息安全風(fēng)險管理》標準簡(jiǎn)介

2008/12/11 15:22:00

     國際標準化組織(ISO)于2008年6月15日正式發(fā)布了ISO/IEC27005:2008，即“信息技術(shù) 安全技術(shù) 信息安全風(fēng)險管理”。該標準作為信息安全管理系列標準之一，為組織的信息安全風(fēng)險管理提供了指南，特別為遵循ISO/IEC27001的組織提供支持。

該標準由范圍、規范性引用文件、術(shù)語(yǔ)和定義、本國際標準的結構、背景、信息安全風(fēng)險管理過(guò)程概述、確定范圍、信息安全風(fēng)險評估、信息安全風(fēng)險處置、信息安全風(fēng)險的接受、信息安全風(fēng)險的溝通、信息安全監視和評審等十二個(gè)部分，以及6個(gè)資料性附錄(即界定信息安全風(fēng)險管理過(guò)程的范圍和邊界、資產(chǎn)的識別和賦值以及影響評估、典型威脅示例、脆弱點(diǎn)和脆弱性評估方法、信息安全風(fēng)險評估方法、降低風(fēng)險的約束)組成。

信息安全風(fēng)險管理是一個(gè)持續的過(guò)程，該過(guò)程由確定范疇（條款7）、風(fēng)險評估（條款 8）、風(fēng)險處理（條款 9）、風(fēng)險接受（條款10）、風(fēng)險溝通（條款 11）以及風(fēng)險監視和評審（條款12）組成。

風(fēng)險評估：對各種進(jìn)行識別、并進(jìn)行定量或定性的描述，并依據風(fēng)險評價(jià)準則和與組織目標的相關(guān)性進(jìn)行排序。風(fēng)險評估包括風(fēng)險識別(包括資產(chǎn)的識別、威脅的識別、脆弱點(diǎn)的識別、現有控制措施有效性的識別、資產(chǎn)喪失保密性/完整性/可用性的后果識別)、風(fēng)險估算、風(fēng)險評價(jià)等。

風(fēng)險處理：選擇風(fēng)險降低、風(fēng)險保持、風(fēng)險歸避和風(fēng)險轉移等控制措施，并制定風(fēng)險處置計劃。

風(fēng)險接受：承擔責任的管理者對被提議的風(fēng)險處理計劃和隨之而來(lái)的殘余風(fēng)險的評審和批準。

風(fēng)險溝通：組織和其他利益相關(guān)方之間交換/或共享風(fēng)險信息以達成共識。溝通的信息包括但不限于，風(fēng)險的存在、性質(zhì)、形式、可能性、嚴重性、處理和可接受性。溝通還應該是雙向的。

監視和評審：風(fēng)險不是靜態(tài)的，威脅、脆弱點(diǎn)、可能性和后果都有可能發(fā)生變化，因此必須持續進(jìn)行監視以發(fā)現這些變化，不斷改進(jìn)組織的信息安全管理。風(fēng)險監視活動(dòng)應定期重復進(jìn)行，并周期性評審風(fēng)險處理的選項。

在ISO/IEC 27001中，在“計劃(Plan)”階段，要確定ISMS 的范圍和邊界、風(fēng)險評估、制定風(fēng)險處置計劃以及風(fēng)險接受；在“實(shí)施(Do)”階段，按照風(fēng)險處置計劃實(shí)施降低風(fēng)險所需的活動(dòng)和控制措施；在 “檢查(Check)”階段，管理者根據事件和環(huán)境的變化，確定是否需要修訂風(fēng)險評估和風(fēng)險處置；在“改進(jìn)(Act)”階段，執行任何需要的活動(dòng)，包括信息安全風(fēng)險管理過(guò)程的補充應用。表1給出了ISMS過(guò)程的四個(gè)階段相關(guān)的信息安全風(fēng)險管理活動(dòng)。

表1  ISMS 和信息安全風(fēng)險管理過(guò)程的對應關(guān)系