ISO IEC 27005-2018 信息技术 安全技术 信息安全风险管理--中文精校版

完整英文版ISO/IEC 27005：2018 Information technology - Security techniques - · Information security risk management(信息技术 - 安全技术 - 信息安全风险管理)。 本标准提供了信息安全风险管理指南，支持ISO / IEC 27001中指定的一般概念，旨在帮助基于风险管理方法令人满意地实施信息安全。

本文件为信息安全风险管理提供了指导方针，支持ISO/IEC 27001中规定的一般概念，旨在帮助基于风险管理方法的信息安全满意实现。本文件适用于所有类型的试图管理可能危及组织信息安全风险的组织（例如，商业企业、 政府机构、非营利组织）。

详细讲解企业风险与信息安全的关系，信息安全的重要性及价值分析，信息安全发展历程，信息安全国内外标准体系，安全技术发展趋势分析，完整的企业信息安全架构，企业战略和治理框架，企业信息安全框架，信息安全运维体系、信息安全管理体系、信息安全技术体系、基础安全服务和架构，企业信息安全风险管理，企业信息安全框架的应用等近200页的技术讲解。

目前，各类型的组织对可能危及其信息安全的威胁都十分关注，协调处理信息安全方面的问题已经成为各组织中信息技术（IT）部门的首要问题。新标准ISO/IEC 27005对信息安全风险管理的程序和相关行动进行了说明，该标准将帮助各组织规避信息安全方面的风险。 信息安全的威胁可能是蓄意的也可能是意外，其诱因可能是IT系统的使用也可能是IT物理和环境方面的影响。这些威胁可能采用身份盗取、网上交易、服务攻击、远程间谍、设备或文件盗窃，以及通过地震或气候现象，如火灾、水灾等形式显现。这些威胁将产生不同形式的影响，例如：财政上的损失、基础网络服务的损失、以及由电力供应中断和通信设备故障引起的用户信心下降。 ISO/IEC 27005“信息技术–安全技术–信息安全风险管理”为信息安全的风险管理提供指导，并支持ISO/IEC 27001“信息技术–安全技术–信息安全管理系统–要求”中规定的一般概念。该标准旨在协助信息安全管理体系标准ISO/IEC 27001的执行。ISO/IEC 27001和ISO/IEC 27002中描述的概念、模式、程序和术语对全面了解该国际标准将产生十分重要的作用。 信息安全风险管理程序的构成如下： ●背景建立； ●风险评估； ●风险处理； ●风险认可； ●风险通信； ●风险监测及审查。 但是，ISO/IEC 27005并没有为信息安全风险管理提供任何具体的方法。各个组织将确定自己的风险管理方法，如依靠信息安全管理系统的范围，基于风险管理的背景等方法确立。 ISO/IEC 27005“信息技术–安全技术–信息安全风险管理”由联合技术委员会ISO/IEC JTC 1下属的IT安全技术SC 27分委员会制定。