信息安全风险管理.pdf

ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 ISO/IEC 27005:2008 第一版 2008-6-15 Information Technology –Security techniques - Information security risk management 信息技术–安全技术–信息安全风险管理 原标准版权属ISO 组织所有，中译文仅供学习参考 yang_xinwen@163.com 最后更新日期2008 年10 月7 日 第1 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 目 录 前言4 介绍5 1. 范围6 2. 规范性引用文件6 3. 术语和定义6 4. 本国际标准的结构8 5. 背景9 6. 信息安全风险管理过程概述 10 7. 确定范畴 13 7.1. 总则13 7.2. 基本准则13 7.3. 范围和边界16 7.4. 信息安全的组织架构17 8. 信息安全风险评估 17 8.1. 信息安全风险评估综述17 8.2. 风险分析18 8.2.1. 风险识别 18 8.2.2. 风险估算23 8.3. 风险评价27 9. 信息安全风险处置28 9.1. 风险处置综述28 9.2. 风险降低31 9.3. 风险保持32 9.4. 风险回避32 9.5. 风险转移33 10. 信息安全风险的接受33 原标准版权属ISO 组织所有，中译文仅供学习参考 最后更新日期2008 年10 月7 日 第2 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 11. 信息安全风险的沟通34 12. 信息安全监视和评审35 12.1. 监视和评审风险因子35 12.2. 风险管理监视、评审和改进37 附录A （资料性）界定信息安全风险管理过程的范围和边界38 A.1 对组织进行研究38 A.2 影响组织的约束清单39 A.3 适用于组织的法律法规的参考清单42 A.4 影响范围的约束清单42 附录B （资料性）资产的识别和赋值以及影响评估44 B.1 资产识别的例子44 B.1.1 基本资产的识别44 B.1.2 支持性资产的清单和描述45 B.2 资产赋值52 B.3 影响评估56 附录C （资料性）典型威胁示例57 附录D （资料性）脆弱点和脆弱性评估方法61 D.1 脆弱点示例61 D.2 评估技术性脆弱点的方法65 附录E （资料性）信息安全风险评估方法66 E.1 纲领性信息安全风险评估66 E.2 详细的信息安全风险评估68 E.2.1 示例1：预定值矩阵68 E.2.2 示例2：