2.3.4 ISO 31000与ISO/IEC 27005的比较

1.相同点

1）解决的问题相同

ISO 31000与ISO/IEC 27005都是为帮助组织解决“风险”而设立的国际标准，这两个标准为组织开展相关活动提供了关键信息。

ISO/IEC 27005与ISO/IEC 27001中处理风险管理的部分紧密关联。ISO/IEC 27005关于信息安全风险管理的一般框架实际上是对ISO/IEC 27001的4.2.1c至4.2.1h，以及4.2.3d条款的详细阐述，也与ISO 31000的风险管理一般框架密切相关。ISO/IEC 27005符合ISO 31000中提出的风险管理的通用要求。

2）一致的风险管理过程

ISO/IEC 27005从2008版到2011版，直至2018版都直接沿用了 ISO 31000的信息安全风险管理框架。

2.不同点

1）范围不同——主从关系

ISO 31000是针对任何领域、所有风险管理的主标准，包括财务、工程、安全等；尽管很多组织已经有了一套方法来管理风险，但是ISO 31000定义的原则是必须遵守的，以确保风险管理的有效性。

ISO/IEC 27005是从标准，是专门针对信息安全风险管理最佳实践的从标准，遵循信息安全管理体系（ISMS）的要求ISO/IEC 27001。

2）角度不同——通用和具体

ISO 31000从战略上全面进行风险管理，可以将此标准视为组织风险管理的框架，但是对信息安全风险评估和风险处置并不提供建议。

ISO/IEC 27005则是用来完成这些建议的，它介绍如何识别资产、威胁、脆弱性，从而进行评估并计算风险的后果和可能性，但是遵循ISO 31000的通用原则。

ISO 31000和ISO/IEC 27005之间的关系如图2-11所示。