贯标集团
ISO体系 , 17025实验室认可 , CMA资质 , 涉密信息系统集成
如何正确认知ISO/IEC 27001中的风险管理过程

ISO/IEC 27001中的风险管理过程,也可以称之为ISO/IEC 27001中的风险管理体系,也因此ISO/IEC 27001中的风险管理是一个系统化的过程,并且涉及ISO/IEC 27001的多个条款。

在ISO/IEC 27001中,与风险管理有关条款有4.14.26.1.16.1.26.1.38.2以及8.3。根据ISO/IEC 27003中的实施指南,我们可以知道,这些条款涉及的风险管理分为两大类,一类是按照6.1.1要求对4.1和4.2的输出进行风险识别和管控二类是按照 6.1.2,6.1.3,8.2以及8.3对信息资产的三个安全属性(保密性,完整性和可用性)进行的风险识别和风险处置。在目前国内的实践中,大部分个人或组织,一般都只关注了第二类的风险管理,并且在实践过程中千遍一律地生搬硬套了ISO/IEC 27005提供的方法,结果导致即便是关注了,但是在实践中失去意义,沦为形式化了;第一类风险管理是几乎没有关注的。第一类风险管理参考的标准是ISO 31000,第二类风险管理参考的标准ISO/IEC 27005。虽然官方明确了这两类风险管理的参考标准,但在实施过程中并没有强制完全按照ISO 31000和ISO/IEC 27005这两个标准来实施,本意可能仅仅是提供一个方向,思维和认知,在实践时需要根据组织实际情形,灵活应用标准,或创造更适合组织的风险管理方法,否则就会像现在几乎沦为形式化了,风险评估根本无法落地。第一类风险管理是属于层次较高(比如战略层面)的风险管理,所以参考标准是ISO 31000,因为ISO 31000适用于各层次的风险管理。第二类风险管理是属于层次较低的风险管理(比如执行层面),主要涉及各个业务活动场景中的信息资产的风险管理,可以参考专门针对这类风险管理而制定的标准IEC 27005,也可以参考ISO 31000(因为ISO 31000适用于各层次的风险管理)。第一类和第二类风险管理,并不是孤立的,他们是有关系的。第一风险管理为第二类风险管理指明了方向,特别是在第二类风险管理中的风险处置措施的选择,以及残余风险的接受必须要参考第一类风险管理的输出结果。

发布时间:2024-11-23
展开全文
拨打电话 微信咨询 发送询价