1)解决的问题相同
ISO 31000与ISO/IEC 27005都是为帮助组织解决“风险”而设立的国际标准,这两个标准为组织开展相关活动提供了关键信息。
ISO/IEC 27005与ISO/IEC 27001中处理风险管理的部分紧密关联。ISO/IEC 27005关于信息安全风险管理的一般框架实际上是对ISO/IEC 27001的4.2.1c至4.2.1h,以及4.2.3d条款的详细阐述,也与ISO 31000的风险管理一般框架密切相关。ISO/IEC 27005符合ISO 31000中提出的风险管理的通用要求。
2)一致的风险管理过程
ISO/IEC 27005从2008版到2011版,直至2018版都直接沿用了 ISO 31000的信息安全风险管理框架。
1)范围不同——主从关系
ISO 31000是针对任何领域、所有风险管理的主标准,包括财务、工程、安全等;尽管很多组织已经有了一套方法来管理风险,但是ISO 31000定义的原则是必须遵守的,以确保风险管理的有效性。
ISO/IEC 27005是从标准,是专门针对信息安全风险管理最佳实践的从标准,遵循信息安全管理体系(ISMS)的要求ISO/IEC 27001。
2)角度不同——通用和具体
ISO 31000从战略上全面进行风险管理,可以将此标准视为组织风险管理的框架,但是对信息安全风险评估和风险处置并不提供建议。
ISO/IEC 27005则是用来完成这些建议的,它介绍如何识别资产、威胁、脆弱性,从而进行评估并计算风险的后果和可能性,但是遵循ISO 31000的通用原则。
ISO 31000和ISO/IEC 27005之间的关系如图2-11所示。
图2-11 ISO 31000和ISO/IEC 27005之间的关系
注:ISO/IEC 27031#代表特定风险指南类控制标准