- 新聞中心
- 中心動態(tài)
- 行業(yè)動態(tài)
《信息安全風(fēng)險(xiǎn)管理》標(biāo)準(zhǔn)簡介
2008/12/11 15:22:00
國際標(biāo)準(zhǔn)化組織(ISO)于2008年6月15日正式發(fā)布了ISO/IEC27005:2008,即“信息技術(shù) 安全技術(shù) 信息安全風(fēng)險(xiǎn)管理”。該標(biāo)準(zhǔn)作為信息安全管理系列標(biāo)準(zhǔn)之一,為組織的信息安全風(fēng)險(xiǎn)管理提供了指南,特別為遵循ISO/IEC27001的組織提供支持。
該標(biāo)準(zhǔn)由范圍、規(guī)范性引用文件、術(shù)語和定義、本國際標(biāo)準(zhǔn)的結(jié)構(gòu)、背景、信息安全風(fēng)險(xiǎn)管理過程概述、確定范圍、信息安全風(fēng)險(xiǎn)評估、信息安全風(fēng)險(xiǎn)處置、信息安全風(fēng)險(xiǎn)的接受、信息安全風(fēng)險(xiǎn)的溝通、信息安全監(jiān)視和評審等十二個部分,以及6個資料性附錄(即界定信息安全風(fēng)險(xiǎn)管理過程的范圍和邊界、資產(chǎn)的識別和賦值以及影響評估、典型威脅示例、脆弱點(diǎn)和脆弱性評估方法、信息安全風(fēng)險(xiǎn)評估方法、降低風(fēng)險(xiǎn)的約束)組成。
信息安全風(fēng)險(xiǎn)管理是一個持續(xù)的過程,該過程由確定范疇(條款7)、風(fēng)險(xiǎn)評估(條款 8)、風(fēng)險(xiǎn)處理(條款 9)、風(fēng)險(xiǎn)接受(條款10)、風(fēng)險(xiǎn)溝通(條款 11)以及風(fēng)險(xiǎn)監(jiān)視和評審(條款12)組成。
|
www.cesi.cn |
風(fēng)險(xiǎn)評估:對各種進(jìn)行識別、并進(jìn)行定量或定性的描述,并依據(jù)風(fēng)險(xiǎn)評價(jià)準(zhǔn)則和與組織目標(biāo)的相關(guān)性進(jìn)行排序。風(fēng)險(xiǎn)評估包括風(fēng)險(xiǎn)識別(包括資產(chǎn)的識別、威脅的識別、脆弱點(diǎn)的識別、現(xiàn)有控制措施有效性的識別、資產(chǎn)喪失保密性/完整性/可用性的后果識別)、風(fēng)險(xiǎn)估算、風(fēng)險(xiǎn)評價(jià)等。
風(fēng)險(xiǎn)處理:選擇風(fēng)險(xiǎn)降低、風(fēng)險(xiǎn)保持、風(fēng)險(xiǎn)歸避和風(fēng)險(xiǎn)轉(zhuǎn)移等控制措施,并制定風(fēng)險(xiǎn)處置計(jì)劃。
風(fēng)險(xiǎn)接受:承擔(dān)責(zé)任的管理者對被提議的風(fēng)險(xiǎn)處理計(jì)劃和隨之而來的殘余風(fēng)險(xiǎn)的評審和批準(zhǔn)。
風(fēng)險(xiǎn)溝通:組織和其他利益相關(guān)方之間交換/或共享風(fēng)險(xiǎn)信息以達(dá)成共識。溝通的信息包括但不限于,風(fēng)險(xiǎn)的存在、性質(zhì)、形式、可能性、嚴(yán)重性、處理和可接受性。溝通還應(yīng)該是雙向的。
監(jiān)視和評審:風(fēng)險(xiǎn)不是靜態(tài)的,威脅、脆弱點(diǎn)、可能性和后果都有可能發(fā)生變化,因此必須持續(xù)進(jìn)行監(jiān)視以發(fā)現(xiàn)這些變化,不斷改進(jìn)組織的信息安全管理。風(fēng)險(xiǎn)監(jiān)視活動應(yīng)定期重復(fù)進(jìn)行,并周期性評審風(fēng)險(xiǎn)處理的選項(xiàng)。
在ISO/IEC 27001中,在“計(jì)劃(Plan)”階段,要確定ISMS 的范圍和邊界、風(fēng)險(xiǎn)評估、制定風(fēng)險(xiǎn)處置計(jì)劃以及風(fēng)險(xiǎn)接受;在“實(shí)施(Do)”階段,按照風(fēng)險(xiǎn)處置計(jì)劃實(shí)施降低風(fēng)險(xiǎn)所需的活動和控制措施;在 “檢查(Check)”階段,管理者根據(jù)事件和環(huán)境的變化,確定是否需要修訂風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處置;在“改進(jìn)(Act)”階段,執(zhí)行任何需要的活動,包括信息安全風(fēng)險(xiǎn)管理過程的補(bǔ)充應(yīng)用。表1給出了ISMS過程的四個階段相關(guān)的信息安全風(fēng)險(xiǎn)管理活動。
表1 ISMS 和信息安全風(fēng)險(xiǎn)管理過程的對應(yīng)關(guān)系
|
ISMS過程 |
信息安全風(fēng)險(xiǎn)管理過程 |
|
計(jì)劃 |
確定范疇
風(fēng)險(xiǎn)評估
制定風(fēng)險(xiǎn)處理計(jì)劃
風(fēng)險(xiǎn)接受 |
|
實(shí)施 |
實(shí)施風(fēng)險(xiǎn)處理計(jì)劃 |
|
檢查 |
持續(xù)監(jiān)視和評審風(fēng)險(xiǎn) |
|
改進(jìn) |
維持和改進(jìn)風(fēng)險(xiǎn)管理過程 |
