ISO/IEC 27005:2008
信息技术 – 安全技术 – 信息安全技术风险管理
翻译:1DING (1ding@1ding.cn)
本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考
http://1ding.org
最后更新日期 2008 年 10 月 7 日
第 1 页 共 77 页
ISO/IEC 27005:2008
第一版
2008-6-15
Information Technology – Security techniques -
Information security risk management
信息技术–安全技术–信息安全风险管理
ISO/IEC 27005:2008
信息技术 – 安全技术 – 信息安全技术风险管理
翻译:1DING (1ding@1ding.cn)
本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考
http://1ding.org
最后更新日期 2008 年 10 月 7 日
第 2 页 共 77 页
目 录
前言 .................................................................................................................................................. 4
介绍 .................................................................................................................................................. 5
1. 范围 ............................................................................................................................................. 6
2. 规范性引用文件 ........................................................................................................................... 6
3. 术语和定义 .................................................................................................................................. 6
4. 本国际标准的结构 ....................................................................................................................... 8
5. 背景 ............................................................................................................................................. 9
6. 信息安全风险管理过程概述 ....................................................................................................... 10
7. 确定范畴 .................................................................................................................................... 13
7.1. 总则 .................................................................................................................................. 13
7.2. 基本准则 ........................................................................................................................... 13
7.3. 范围和边界 ....................................................................................................................... 16
7.4. 信息安全的组织架构......................................................................................................... 17
8. 信息安全风险评估 ..................................................................................................................... 17
8.1. 信息安全风险评估综述 ..................................................................................................... 17
8.2. 风险分析 ........................................................................................................................... 18
8.2.1. 风险识别 ............................................................................................................... 18
8.2.2. 风险估算 ............................................................................................................... 23
8.3. 风险评价 ........................................................................................................................... 27
9. 信息安全风险处置 ..................................................................................................................... 28
9.1. 风险处置综述 ................................................................................................................... 28
9.2. 风险降低 ........................................................................................................................... 31
9.3. 风险保持 ........................................................................................................................... 32
9.4. 风险回避 ........................................................................................................................... 32
9.5. 风险转移 ........................................................................................................................... 33
10. 信息安全风险的接受 ................................................................................................................ 33
ISO/IEC 27005:2008
信息技术 – 安全技术 – 信息安全技术风险管理
翻译:1DING (1ding@1ding.cn)
本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考
http://1ding.org
最后更新日期 2008 年 10 月 7 日
第 3 页 共 77 页
11. 信息安全风险的沟通 ................................................................................................................ 34
12. 信息安全监视和评审 ................................................................................................................ 35
12.1. 监视和评审风险因子 ...................................................................................................... 35
12.2. 风险管理监视、评审和改进 ............................................................................................ 37
附录 A (资料性) 界定信息安全风险管理过程的范围和边界 ..................................................... 38
A.1 对组织进行研究 ................................................................................................................. 38
A.2 影响组织的约束清单 ......................................................................................................... 39
A.3 适用于组织的法律法规的参考清单 .................................................................................... 42
A.4 影响范围的约束清单 .......................................................................................................... 42
附录 B (资料性) 资产的识别和赋值以及影响评估 .................................................................... 44
B.1 资产识别的例子 ................................................................................................................ 44
B.1.1 基本资产的识别 ..................................................................................................... 44
B.1.2 支持性资产的清单和描述 ...................................................................................... 45
B.2 资产赋值 ........................................................................................................................... 52
B.3 影响评估 ........................................................................................................................... 56
附录 C (资料性) 典型威胁示例 ................................................................................................. 57
附录 D (资料性)脆弱点和脆弱性评估方法................................................................................. 61
D.1 脆弱点示例 ........................................................................................................................ 61
D.2 评估技术性脆弱点的方法................................................................................................... 65
附录 E (资料性)信息安全风险评估方法 .................................................................................... 66
E.1 纲领性信息安全风险评估 ................................................................................................... 66
E.2 详细的信息安全风险评估 ................................................................................................... 68
E.2.1 示例 1:预定值矩阵 .............................................................................................. 68
E.2.2 示例 2:通过风险值进行威胁评级 ......................................................................... 71
E.2.3 示例 3:为风险的可能性和可能的后果赋值 .......................................................... 71
附录 F (资料性)降低风险的约束................................................................................................ 73
ISO/IEC 27005:2008
信息技术 – 安全技术 – 信息安全技术风险管理
翻译:1DING (1ding@1ding.cn)
本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考
http://1ding.org
最后更新日期 2008 年 10 月 7 日
第 4 页 共 77 页
前言
ISO(国际标准化组织)和IEC (国际电工委员会)构成世界范围内的标准化专门体系。国家机构
作为ISO或IEC的成员,通过由处理特定技术领域的相应组织所建立的技术委员会参与开发国际标准。
ISO和IEC的技术委员会在共同关心的领域合作。其他的国际性组织,官方或非官方的,也与ISO和
IEC联系,参与部分工作。在信息技术领域,ISO/IEC 建立了联合技术委员会, IEO/IEC JTC 1。
国际标准依据ISO/IEC 指南第2部分起草。
联合技术委员会的主要任务是起草国际标准。被联合技术委员会接受的国际标准草案,将提交过国
家机构进行投票。成为国际标准公开发布,则需要至少75%的国家机构投赞成票。
应注意本标准的某些内容可能涉及专利。ISO和IEC不负责识别任何专利。
ISO/IEC 20000-1由ISO/IEC JTC1信息技术联合技术委员会SC27安全技术分起草。
ISO/IEC 27005的第一版作为技术性修订,废弃和替代了ISO/IEC TR 13335-3:1998, and ISO/IEC
TR 13335-4:2000。
ISO/IEC 27005:2008
信息技术 – 安全技术 – 信息安全技术风险管理
翻译:1DING (1ding@1ding.cn)
本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考
http://1ding.org
最后更新日期 2008 年 10 月 7 日
第 5 页 共 77 页
介绍
本标准为组织的信息安全风险管理提供指南,并特别为遵循ISO/IEC 27001的ISMS提供支持。然而,
本标准不会提供任何特定的信息安全风险管理方法。组织根据如ISMS、风险管理的范畴或行业特定
等因素,定义自己的风险管理方法。在本标准所描述的框架下,存在多种办法可用于实施ISMS的要
求。
本标准适用于关注组织内信息安全风险管理的管理者和员工,以及为这些活动提供支持的外部组织
(如果适用)。
- 1
- 2
- 3
- 4
前往页