2.3.2 ISO/IEC 27005版本的演化

由于信息安全最重要的任务是控制风险，因此风险管理在其中有举足轻重的作用，而ISO/IEC 27005作为ISO/IEC 27000系列标准中唯一讨论信息安全风险管理方法论的标准，其重要性是不言而喻的。ISO/IEC 27005共经历了三个版本的演化。ISO/IEC 27005的最新版本，即第三个版本于2018年发布，其他两个版本分别是2008版和2011版。2008版是信息安全风险评估标准的第一个版本，来自ISO/IEC TR 13335-3：1998和ISO/IEC TR 13335-4：2000，以及BS 7799-3：2005。

整体而言，ISO/IEC 27005的三个版本细节有改变，但是无根本性改变，尤其是在框架、流程方面，变化不大。具体表现为：

（1）与PDCA过程的映射关系：ISO/IEC 27005的2008版和2011版都有风险评估过程与信息安全管理体系（ISMS）中PDCA过程的映射关系，在2018版中不再强调，不过依然遵循了PDCA原则。这可能是因为ISO/IEC 27001：2013虽然本质上依然是PDCA，但是描述上有所变化相关。

（2）ISO/IEC 27005：2018版删除了与ISO/IEC 27001联系过度紧密的描述，ISO/IEC 27001从2011版中的规范性引用文件被移到参考文献中；ISMS要求被加入引言中。但是这并不意味着两者的联系度降低，在引言中，两者依然可以配合应用。 E+SiVn9j503uVDVooB8FlISZz21e39xLyusrmYixY3bBkx8Kei6VimPF/acN8+ZU