下载掌阅APP,畅读海量书库
立即打开
ISO/IEC 27005:2018标准提供了组织中信息安全风险管理的指导方针。该标准中并未提供任何特定的信息安全风险管理方法,而是提供了通用的风险管理过程和风险处置活动,为组织提供“原因、内容和方式”,以便能够有效地管理组织的信息安全风险,有助于证明组织已经具备强大的风险处理能力,更有利于事业的发展。
ISO/IEC 27005:2018包含12章、6个资料性附录。第1章为范围,第2章为规范性引用文件,第3章为术语和定义,第4章为文档结构,第5章介绍了背景信息,第6章给出了信息安全风险管理过程的框架,如图2-9所示。
图2-9 ISO/IEC 27005:2018信息安全风险管理过程框架
信息安全风险管理过程可以应用于组织的一部分(如部门、物理场所、服务),或应用于整个组织及任何信息系统。信息安全风险管理的方法是系统的、有效的,其目标与组织的总体目标相一致。
ISO/IEC 27005:2018标准提出信息安全的风险管理过程可以采用在ISO 31000中描述的风险管理过程,包括环境建立、风险评估、风险处置、风险接受、沟通与咨询、监视与评审共六个过程。标准的第7章至第12章对风险管理过程展开论述,如图2-10所示。
图2-10 ISO/IEC 27005:2018第7章至第12章主要内容
第7章对信息安全风险管理环境建立提供指导,它明确了需要在开始就要确定的“基本准则”。包括:风险管理方法、风险评价准则、影响准则和风险接受准则。这都是风险管理领域通用的。
组织需要选择适合基本准则的风险管理方法,同时必须评估必要资源的可用性,如:
● 执行风险评估并建立风险处理计划;
● 制定并执行方针和程序,包括所选控制的实施;
● 监视控制;
● 监视信息安全风险管理过程。
随后,在开发风险评价准则时需要考虑:
● 组织信息过程的战略价值;
● 涉及信息资产的关键程度;
● 法律和法规要求和合同义务;
● 可用性、保密性和完整性对运营和商业的重要性;
● 相关方的期望和看法,以及对商誉和声誉的负面影响。
确定影响准则,要表明信息安全事件将如何影响信息资产、运营、业务、财务价值、计划、声誉,以及是否符合法律、法规、合同的要求。
风险接受准则取决于组织,并且可以包括在最高管理层批准的例外情况下,风险在期望目标水平的多个阈值。这些准则可以表示为估算利益与估算风险的比率。
信息安全风险管理的范围和边界需要由组织确定。这使组织能够确保在风险评估中考虑到相关资产。
第8章主要介绍了信息安全风险评估。风险评估确定信息资产的价值,识别适用的威胁和存在(或可能存在)的脆弱性,现有的控制及其对识别风险的影响,确定潜在的后果,并对得到的风险优先排序,根据在环境建立时设定的风险评价准则对其设定等级。风险评估包括风险识别、风险分析和风险评价。
风险识别的目的是,确定可能发生什么事件(风险),会导致潜在的损失,并了解如何防止、在何处发生,以及为什么可能发生损失。
风险分析方法可分为定性分析和定量分析,最后确定风险水平。
风险评价指依据风险分析结果提出风险处置建议。
第9章是信息安全风险处置,可以基于风险评估结果和成本效益分析选择4种风险处置方式:风险修正、风险保留、风险规避和风险分担。
风险修正通过技术控制等手段实现风险等级的变化,要考虑的成本和效益的经济平衡。
风险保留是指对风险评估结果表明风险可接受,就可以简单地保留风险,不需要变更任何控制。
风险规避是指通过其他方式规避风险发生的可能化。
风险分担将风险分摊给第三方,如保险公司或分包商。但需要注意的是,风险分担并不意味着责任的分担,因为事件后果仍然在该组织。
在风险处置后,组织需做出是否接受残余风险的决定,由负责的管理者审查和批准。
第10章是风险接受。
第11章是信息安全风险沟通与咨询。信息安全风险需要在风险责任人和利益相关方之间进行沟通。这种信息安全风险沟通应为风险管理成果提供保障、分享风险评估结果、支持决策和提升意识。组织应为正常和紧急情况编制风险沟通计划。
第12章是为信息安全风险因素提供监视与评审。由于风险会因为脆弱性、可能性或后果的变化而改变,所以组织需要持续监测。组织需要监测的内容包括:风险管理范围内的新资产、修正的资产价值、新威胁、新漏洞、可导致不可接受风险水平升高的影响或后果,以及信息安全事件。
此外,在对信息安全风险管理不间断地进行监督和评审,以保持其适应性的同时,还需要对相应管理人员的知识水平进行必要的提升。组织应该定期验证风险及其要素的测量准则依然有效,并与业务目标、战略和策略保持一致。在信息安全风险管理过程中还要充分考虑业务背景的变化。该阶段需要关注的问题是:法律和环境背景、竞争环境、风险评估方法、资产价值和类别、总拥有成本和必要的资源,用以保障有持续可用的风险评估和风险处置资源来评审风险,解决新的或改变的威胁或脆弱性,并提出相应的管理建议。监督和改进的结果可能是修改或添加风险管理过程中采用的途径、方法或工具。