《信息安全風險管理》標準簡介

2008/12/11 15:22:00

     國際標準化組織(ISO)于2008年6月15日正式發布了ISO/IEC27005:2008，即“信息技術 安全技術 信息安全風險管理”。該標準作為信息安全管理系列標準之一，為組織的信息安全風險管理提供了指南，特別為遵循ISO/IEC27001的組織提供支持。

該標準由范圍、規范性引用文件、術語和定義、本國際標準的結構、背景、信息安全風險管理過程概述、確定范圍、信息安全風險評估、信息安全風險處置、信息安全風險的接受、信息安全風險的溝通、信息安全監視和評審等十二個部分，以及6個資料性附錄(即界定信息安全風險管理過程的范圍和邊界、資產的識別和賦值以及影響評估、典型威脅示例、脆弱點和脆弱性評估方法、信息安全風險評估方法、降低風險的約束)組成。

信息安全風險管理是一個持續的過程，該過程由確定范疇（條款7）、風險評估（條款 8）、風險處理（條款 9）、風險接受（條款10）、風險溝通（條款 11）以及風險監視和評審（條款12）組成。

風險評估：對各種進行識別、并進行定量或定性的描述，并依據風險評價準則和與組織目標的相關性進行排序。風險評估包括風險識別(包括資產的識別、威脅的識別、脆弱點的識別、現有控制措施有效性的識別、資產喪失保密性/完整性/可用性的后果識別)、風險估算、風險評價等。

風險處理：選擇風險降低、風險保持、風險歸避和風險轉移等控制措施，并制定風險處置計劃。

風險接受：承擔責任的管理者對被提議的風險處理計劃和隨之而來的殘余風險的評審和批準。

風險溝通：組織和其他利益相關方之間交換/或共享風險信息以達成共識。溝通的信息包括但不限于，風險的存在、性質、形式、可能性、嚴重性、處理和可接受性。溝通還應該是雙向的。

監視和評審：風險不是靜態的，威脅、脆弱點、可能性和后果都有可能發生變化，因此必須持續進行監視以發現這些變化，不斷改進組織的信息安全管理。風險監視活動應定期重復進行，并周期性評審風險處理的選項。

在ISO/IEC 27001中，在“計劃(Plan)”階段，要確定ISMS 的范圍和邊界、風險評估、制定風險處置計劃以及風險接受；在“實施(Do)”階段，按照風險處置計劃實施降低風險所需的活動和控制措施；在 “檢查(Check)”階段，管理者根據事件和環境的變化，確定是否需要修訂風險評估和風險處置；在“改進(Act)”階段，執行任何需要的活動，包括信息安全風險管理過程的補充應用。表1給出了ISMS過程的四個階段相關的信息安全風險管理活動。

表1  ISMS 和信息安全風險管理過程的對應關系