如何正确认知ISO/IEC 27001中的风险管理过程

在ISO/IEC 27001中，与风险管理有关条款有4.1，4.2，6.1.1，6.1.2，6.1.3，8.2以及8.3。根据ISO/IEC 27003中的实施指南，我们可以知道，这些条款涉及的风险管理分为两大类，一类是按照6.1.1要求对4.1和4.2的输出进行风险识别和管控，二类是按照 6.1.2，6.1.3，8.2以及8.3对信息资产的三个安全属性（保密性，完整性和可用性）进行的风险识别和风险处置。在目前国内的实践中，大部分个人或组织，一般都只关注了第二类的风险管理，并且在实践过程中千遍一律地生搬硬套了ISO/IEC 27005提供的方法，结果导致即便是关注了，但是在实践中失去意义，沦为形式化了；第一类风险管理是几乎没有关注的。第一类风险管理参考的标准是ISO 31000，第二类风险管理参考的标准ISO/IEC 27005。虽然官方明确了这两类风险管理的参考标准，但在实施过程中并没有强制完全按照ISO 31000和ISO/IEC 27005这两个标准来实施，本意可能仅仅是提供一个方向，思维和认知，在实践时需要根据组织实际情形，灵活应用标准，或创造更适合组织的风险管理方法，否则就会像现在几乎沦为形式化了，风险评估根本无法落地。第一类风险管理是属于层次较高（比如战略层面）的风险管理，所以参考标准是ISO 31000，因为ISO 31000适用于各层次的风险管理。第二类风险管理是属于层次较低的风险管理（比如执行层面），主要涉及各个业务活动场景中的信息资产的风险管理，可以参考专门针对这类风险管理而制定的标准IEC 27005，也可以参考ISO 31000（因为ISO 31000适用于各层次的风险管理）。第一类和第二类风险管理，并不是孤立的，他们是有关系的。第一风险管理为第二类风险管理指明了方向，特别是在第二类风险管理中的风险处置措施的选择，以及残余风险的接受必须要参考第一类风险管理的输出结果。