如何正确认知ISO/IEC 27001中的风险管理过程
在ISO/IEC 27001中,与风险管理有关条款有4.1,4.2,6.1.1,6.1.2,6.1.3,8.2以及8.3。根据ISO/IEC 27003中的实施指南,我们可以知道,这些条款涉及的风险管理分为两大类,一类是按照6.1.1要求对4.1和4.2的输出进行风险识别和管控,二类是按照 6.1.2,6.1.3,8.2以及8.3对信息资产的三个安全属性(保密性,完整性和可用性)进行的风险识别和风险处置。在目前国内的实践中,大部分个人或组织,一般都只关注了第二类的风险管理,并且在实践过程中千遍一律地生搬硬套了ISO/IEC 27005提供的方法,结果导致即便是关注了,但是在实践中失去意义,沦为形式化了;第一类风险管理是几乎没有关注的。第一类风险管理参考的标准是ISO 31000,第二类风险管理参考的标准ISO/IEC 27005。虽然官方明确了这两类风险管理的参考标准,但在实施过程中并没有强制完全按照ISO 31000和ISO/IEC 27005这两个标准来实施,本意可能仅仅是提供一个方向,思维和认知,在实践时需要根据组织实际情形,灵活应用标准,或创造更适合组织的风险管理方法,否则就会像现在几乎沦为形式化了,风险评估根本无法落地。第一类风险管理是属于层次较高(比如战略层面)的风险管理,所以参考标准是ISO 31000,因为ISO 31000适用于各层次的风险管理。第二类风险管理是属于层次较低的风险管理(比如执行层面),主要涉及各个业务活动场景中的信息资产的风险管理,可以参考专门针对这类风险管理而制定的标准IEC 27005,也可以参考ISO 31000(因为ISO 31000适用于各层次的风险管理)。第一类和第二类风险管理,并不是孤立的,他们是有关系的。第一风险管理为第二类风险管理指明了方向,特别是在第二类风险管理中的风险处置措施的选择,以及残余风险的接受必须要参考第一类风险管理的输出结果。
- ISO/IEC 27001: 2022的主要变化 2024-11-05
- ISO/IEC 27001信息安全管理体系认证条件和流程 2024-11-05
- ISO27001认证内容 2024-11-05
- 十问十答,全面解答企业ISO/IEC 27001:2022转版热门问题 2024-11-05
- ISO/IEC27001信息安全管理体系标准解读 2024-11-05
- 江苏ISO27001取证程序 2024-11-05
- 申请ISO27001认证应提交的文件及材料 2024-11-05
- 等保测评,被测方(备案单位)在测评阶段需配合的工作 2024-11-05
- 等级测评的流程 2024-11-05
- 等保定级工作的主要步骤 2024-11-05
- 如何理解信息系统的五个安全保护等级 2024-11-05
- 如何确定信息系统安全保护等级 2024-11-05
- 网络安全等级保护工作流程 2024-11-05
- 信息系统安全等级保护体系框架 2024-11-05
- 信息系统备案工作的内容和要求 2024-11-05