信息安全管理体系实施指南-ISO_27005_2008_CN

文档正文


概要信息

本文档为 PDF 格式,共计 77 页,售价为 5.00 元(人民币),由本站用户 zhh 于 2019-03-31 日上传。


内容摘要

ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) ISO/IEC 27005:2008 第一版 2008-6-15 Information Technology – Security techniques - Information security risk management 信息技术–安全技术–信息安全风险管理 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 最后更新日期 2008 年 10 月 7 日 http://1ding.org 第 1 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 目 录 前言 .................................................................................................................................................. 4 介绍 .................................................................................................................................................. 5 1. 范围 ............................................................................................................................................. 6 2. 规范性引用文件 ........................................................................................................................... 6 3. 术语和定义 .................................................................................................................................. 6 4. 本国际标准的结构 ....................................................................................................................... 8 5. 背景 ............................................................................................................................................. 9 6. 信息安全风险管理过程概述 ....................................................................................................... 10 7. 确定范畴 .................................................................................................................................... 13 7.1. 总则 .................................................................................................................................. 13 7.2. 基本准则 ........................................................................................................................... 13 7.3. 范围和边界 ....................................................................................................................... 16 7.4. 信息安全的组织架构......................................................................................................... 17 8. 信息安全风险评估 ..................................................................................................................... 17 8.1. 信息安全风险评估综述 ..................................................................................................... 17 8.2. 风险分析 ........................................................................................................................... 18 8.2.1. 风险识别 ............................................................................................................... 18 8.2.2. 风险估算 ............................................................................................................... 23 8.3. 风险评价 ........................................................................................................................... 27 9. 信息安全风险处置 ..................................................................................................................... 28 9.1. 风险处置综述 ................................................................................................................... 28 9.2. 风险降低 ........................................................................................................................... 31 9.3. 风险保持 ........................................................................................................................... 32 9.4. 风险回避 ........................................................................................................................... 32 9.5. 风险转移 ........................................................................................................................... 33 10. 信息安全风险的接受 ................................................................................................................ 33 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 最后更新日期 2008 年 10 月 7 日 http://1ding.org 第 2 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 11. 信息安全风险的沟通 ................................................................................................................ 34 12. 信息安全监视和评审 ................................................................................................................ 35 12.1. 监视和评审风险因子 ...................................................................................................... 35 12.2. 风险管理监视、评审和改进 ............................................................................................ 37 附录 A (资料性) 界定信息安全风险管理过程的范围和边界 ..................................................... 38 A.1 对组织进行研究 ................................................................................................................. 38 A.2 影响组织的约束清单 ......................................................................................................... 39 A.3 适用于组织的法律法规的参考清单 .................................................................................... 42 A.4 影响范围的约束清单 .......................................................................................................... 42 附录 B (资料性) 资产的识别和赋值以及影响评估 .................................................................... 44 B.1 资产识别的例子 ................................................................................................................ 44 B.1.1 基本资产的识别 ..................................................................................................... 44 B.1.2 支持性资产的清单和描述 ...................................................................................... 45 B.2 资产赋值 ........................................................................................................................... 52 B.3 影响评估 ........................................................................................................................... 56 附录 C (资料性) 典型威胁示例 ................................................................................................. 57 附录 D (资料性)脆弱点和脆弱性评估方法................................................................................. 61 D.1 脆弱点示例 ........................................................................................................................ 61 D.2 评估技术性脆弱点的方法................................................................................................... 65 附录 E (资料性)信息安全风险评估方法 .................................................................................... 66 E.1 纲领性信息安全风险评估 ................................................................................................... 66 E.2 详细的信息安全风险评估 ................................................................................................... 68 E.2.1 示例 1:预定值矩阵 .............................................................................................. 68 E.2.2 示例 2:通过风险值进行威胁评级 ......................................................................... 71 E.2.3 示例 3:为风险的可能性和可能的后果赋值 .......................................................... 71 附录 F (资料性)降低风险的约束................................................................................................ 73 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 最后更新日期 2008 年 10 月 7 日 http://1ding.org 第 3 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 前言 ISO(国际标准化组织)和IEC (国际电工委员会)构成世界范围内的标准化专门体系。国家机构 作为ISO或IEC的成员,通过由处理特定技术领域的相应组织所建立的技术委员会参与开发国际标准。 ISO和IEC的技术委员会在共同关心的领域合作。其他的国际性组织,官方或非官方的,也与ISO和 IEC联系,参与部分工作。在信息技术领域,ISO/IEC 建立了联合技术委员会, IEO/IEC JTC 1。 国际标准依据ISO/IEC 指南第2部分起草。 联合技术委员会的主要任务是起草国际标准。被联合技术委员会接受的国际标准草案,将提交过国 家机构进行投票。成为国际标准公开发布,则需要至少75%的国家机构投赞成票。 应注意本标准的某些内容可能涉及专利。ISO和IEC不负责识别任何专利。 ISO/IEC 20000-1由ISO/IEC JTC1信息技术联合技术委员会SC27安全技术分起草。 ISO/IEC 27005的第一版作为技术性修订,废弃和替代了ISO/IEC TR 13335-3:1998, and ISO/IEC TR 13335-4:2000。 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 最后更新日期 2008 年 10 月 7 日 http://1ding.org 第 4 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 介绍 本标准为组织的信息安全风险管理提供指南,并特别为遵循ISO/IEC 27001的ISMS提供支持。然而, 本标准不会提供任何特定的信息安全风险管理方法。组织根据如ISMS、风险管理的范畴或行业特定 等因素,定义自己的风险管理方法。在本标准所描述的框架下,存在多种办法可用于实施ISMS的要 求。 本标准适用于关注组织内信息安全风险管理的管理者和员工,以及为这些活动提供支持的外部组织 (如果适用)。 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 最后更新日期 2008 年 10 月 7 日 http://1ding.org 第 5 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 信息技术 – 安全技术 – 信息安全风险管理 1. 范围 本国际标准为信息安全风险管理提供指南。 本国际标准支持ISO/IEC 27001所描述的一般概念,并致力于协助实施符合要求的、基于风险管理 方法的信息安全。 理解 ISO/IEC 27001 和 ISO/IEC 27002 所描述的概念、模型、过程和术语,对于完整理解本标准 是很重要的。 本标准适用于试图管理危及组织信息安全风险的各种类型组织(如,商业企业、政府机构、非盈 利组织)。 2. 规范性引用文件 下列参考文件对于本文件的应用是必不可少的。凡是注明日期的引用文件,只有引用的版本适用 于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。 ISO/IEC 27001:2005,信息技术 – 安全技术 – 信息安全管理体系 – 要求 ISO/IEC 27002:2005,信息技术 – 安全技术 – 信息安全管理使用规则 3. 术语和定义 下列术语和定义以及 ISO/IEC 27001、ISO/IEC 27002 中的术语和定义适用于本标准。 3.1 Impact 影响 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 最后更新日期 2008 年 10 月 7 日 http://1ding.org 第 6 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 给达成的业务目标级别带来不利的变化 3.2 Information Security Risk 信息安全风险 某种特定的威胁利用资产或一组资产的脆弱点,导致这些资产受损或破坏的潜在可能 注:通常用事态的可能性及其后果的组合来测量。 3.3 risk avoidance 风险回避 决定不卷入风险处境或从风险处境中撤出 [ISO/IEC Guide 73:2002] 3.4 risk communication 风险沟通 在决策者或其他利益相关方之间交换或共享有关风险的信息 [ISO/IEC Guide 73:2002] 3.5 risk estimation 风险估算 对风险的可能性和后果进行赋值的过程 [ISO/IEC Guide 73:2002] 注 1:对于风险估算,在本国际标准范畴内,用术语 “活动”替代术语“过程”。 注 2:对于风险估算,在本国际标准范畴内,用术语“可能性”替代术语“概率”。 3.6 risk identification 风险识别 发现、列出并描述风险要素的过程 [ISO/IEC Guide 73:2002] 注 1:对于风险识别,在本国际标准范畴内,用术语 “活动”替代术语“过程”。 3.7 risk reduction 风险降低 采取行动降低风险发生的可能性或减轻负面后果,或同时降低风险发生的可能性和减轻负面后果 [ISO/IEC Guide 73:2002] 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 最后更新日期 2008 年 10 月 7 日 http://1ding.org 第 7 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 注:对于风险降低,在本国际标准范畴内,用术语“可能性”替代术语“概率”。 3.8 risk retention 风险保持 接受特定风险带来的损失或收益 [ISO/IEC Guide 73:2002] 注:在信息安全风险范畴内,风险保持只考虑负面后果(损失)。 3.9 risk transfer 风险转移 与其它组织分担风险的损失或收益 [ISO/IEC Guide 73:2002] 注:在信息安全风险范畴内,转移风险只考虑负面后果(损失)。 4. 本国际标准的结构 本标准包含信息安全风险管理过程及活动的描述。 条款 5 提供背景信息。 条款 6 提供信息安全风险管理过程的概述。 条款 6 提及的所有信息安全管理活动在随后的以下条款中叙述:  条款 7 确定风险管理范畴,  条款 8 描述风险评估,  条款 9 描述风险处置,  条款 10 描述风险接受,  条款 11 描述风险沟通, 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 最后更新日期 2008 年 10 月 7 日 http://1ding.org 第 8 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn)  条款 12 描述风险监视和评审。 附录提供有关信息安全风险管理活动的补充信息。附录 A(定义信息安全管理过程的范围和边界) 为建立风险评估范畴提供支持。附录 B(资产示例)、附录 C(典型威胁示例)和附录 D(典型 脆弱点示例)讨论有关资产的识别和赋值以及影响的评估。 附录 E 提供信息安全风险评估方法的示例。 附录 F 表述降低风险的约束条件。 从条款 7 到条款 12 描述的所有风险管理活动采用如下结构: 输入:识别执行活动所必需的任何信息。 活动:活动的描述。 实施指南:提供执行活动的指南。指南的部分内容可能不适用于所有情形,并且执行活动的其他 方式可能更为合适。 输出:识别活动执行后所得到的任何信息。 5. 背景 信息安全风险管理的系统化方法对于识别组织有关信息安全要求和建立有效的信息安全管理体系 (ISMS)来说是必须的。信息安全风险管理方法应该适合于组织的环境,特别是应该与组织的整 体风险管理相一致。应该按照需要的时间和地点,以有效和及时的方式处理风险。信息安全风险 管理应该是构成整个信息安全管理活动的一部分,并应该应用于 ISMS 的实施和持续运行中。 信息安全风险管理是一个持续的过程。该过程应该建立范畴,评估风险,并利用风险处置计划来 实施建议和决策以处置风险。风险管理分析,是在决定应该做什么和什么时候做之前分析可能发 生什么以及可能的后果是什么,以将风险降低到可以接受的级别。 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 最后更新日期 2008 年 10 月 7 日 http://1ding.org 第 9 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 信息安全风险管理应该为以下方面提供帮助:  识别风险  依据风险造成的业务后果和发生的可能性进行风险评估  就风险的后果和可能性进行沟通并达成理解  建立风险处置的优先次序  对降低风险的活动进行排序  在做出风险管理决策时,让利益相关方参与,并及时告知风险管理的状态  有效监视风险处置  监视风险和风险管理过程,并定期评审  收集信息以改进风险管理方法  应该对管理者和员工进行有关风险和减轻风险所应采取行动的培训 信息安全风险管理过程可能应用于整个组织,组织的任何部分(如部门、物理区域或某个服务), 任何信息系统,现有、计划或特定部分的控制措施(如业务连续性计划)。 6. 信息安全风险管理过程概述 信息安全风险管理过程由确定范畴(条款 7)、风险评估(条款 8)、风险处置(条款 9)、风险 接受(条款 10)、风险沟通(条款 11)以及风险监视和评审(条款 12)组成。 如图 1 所示,信息安全风险管理过程可能循环进行风险评估和/或风险处置活动。风险评估的循环 方法能够使得每一次循环更加深入和具体。循环方法可以在确保高风险被准确识别和在识别控制 措施上花费最小的时间和精力之间寻找平衡。 首先确定范畴。然后进行风险评估。如果风险评估为进行有效决策的提供了充分的信息,以确定 将风险降低到可接受级别所需活动,则风险评估任务结束,开始进行风险处置。如果信息不够充 分,则进行另外一个修订范畴和风险评估的循环,也可能是整个范围内的部分内容进行循环。 有效的风险处置依赖于风险评估的结果。风险处置可能不会立即将残余风险降低到可以接受的级 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 10 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 别。对于这种情形,可能需要变更风险范畴参数(如风险评估、风险接受或影响的准则)再次进 行的风险评估循环,并可能需要进一步的风险处置(参见图 1, 风险决策点 2)。 图 1 信息安全风险处理过程 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 11 页 共 77 页 CONTEXT ESTABLISHMENT 确定范畴RISK INDENTIFICATION风险识别RISK ESTIMATION 风险估计RISK EVALUATION 风险评价RISK ANALYSIS风险分析RISK ASSEMENT 风险评估RISK TREATMENT 风险处置RISK ACCEPTENCE 风险接受RISK COMMUNICATION风险沟通RISKM MONITORING AND REVIEW风险监视和评审RISK DECISION POINT 1Assessment satisfactory风险决策点1风险评估是否满足要求?NOYESRISK DECISION POINT 2Treatment satisfactory风险决策点2风险处置是否满足要求?NOYESEND OF FIRST OR SUBSEQUENT ITERACTION结束首个或后续循环 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 风险接受活动需要确保残余风险被组织的管理者明确接受。对于控制措施被取消或推迟实施(如, 因成本问题)的情形,管理层的明确接受就更为重要。 在整个信息安全风险管理过程中,向相应的管理者和员工传达风险和风险的处置是很重要的。甚 至在风险处置前,有关已识别的风险信息对于管理事件可能是很有价值的,并可以帮助降低潜在 损失。管理者和员工的风险意识、降低风险的现有控制措施的特性以及组织所关心的区域,将为 处理事件和非预期事态提供有效的帮助。信息安全风险管理过程的每一活动及两个风险决策点的 详细结果应该形成文件。 ISO/IEC 27001 规定的 ISMS 的范围、边界和范畴内所实施的控制措施应是基于风险的。信息安 全风险管理过程的应用可以满足这项要求。有很多在组织内成功实施风险管理过程的方法。组织 每一具体的过程应用所使用的任何过程方法,应该是最适合于自身情形的。 在 ISMS 中,确定范畴、风险评估、开发风险处置计划以及风险接受都是“计划”阶段中的一部 分。在 ISMS 的实施阶段中,按照风险处置计划实施降低风险所需的活动和控制措施。在 ISMS 的“检查”阶段,管理者根据事件和环境的变化, 确定是否需要修订风险评估和风险处置。在“改 进”阶段,执行任何需要的活动,包括信息安全风险管理过程的补充应用。 下表概述了与 ISMS 过程的四个阶段相关的信息安全风险管理活动: 表 1:ISMS 和信息安全风险管理过程的对应关系 ISMS 过程 信息安全风险管理过程 计划 实施 检查 改进 确定范畴 风险评估 开发风险处置计划 风险接受 实施风险处置计划 持续监视和评审风险 维持和改进风险管理过程 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 12 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 7. 确定范畴 7.1. 总则 输入:与确定信息安全风险管理范畴相关的所有关于组织的信息。 活动:应该确定信息安全风险管理的范畴,这涉及信息安全风险管理所必须的基本准则的设定(条 款 7.2),范围和边界的界定(条款 7.3),适合于信息安全管理运行的组织架构的确定(条款 7.4)。 实施指南: 确定信息安全风险评估的宗旨是必要的,因为这将影响整个风险评估过程,特别是对确定风险评 估范畴的影响。信息安全风险评估的宗旨可能是:  支持 ISMS  符合法律和尽职的证据  准备业务连续性计划  准备事件响应计划  描述某个产品、服务或机制对信息安全的要求 确定支持 ISMS 所需要的范畴要素的实施指南,将在条款 7.2、7.3 和 7.4 中作进一步讨论。 注:ISO/IEC 27001 并不使用术语“范畴”。但是,条款 7 的所有内容都与 ISO/IEC 27001 中“定 义 ISMS 的范围和边界”( 4.2.1a)、“定义 ISMS 方针”(4.2.1b)、“定义风险评估方法” (4.2.1c)的要求相关。 输出:对信息安全管理过程的基本准则、范围和边界、以及组织架构的说明。 7.2. 基本准则 根据风险管理的范围和目标的不同,可能采用不同的方法。对于每一循环,所采用的方法也可能 不同。 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 13 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 一个合适的风险管理方法应该选择或开发基本准则,如风险评价准则、影响准则、风险接受准则。 另外,组织还应该评估是否具有进行以下活动所需的必要资源:  进行风险评附和确定风险处置计划  定义和实施方针和程序,包括实施已选择的控制措施  监视控制措施  监视信息安全风险管理过程 注:也可参见 ISO/IEC 27001(条款 5.2.1)中有关实施和运行 ISMS 所需资源的提供。 风险评价准则 组织应该在考虑以下内容的基础上开发评价组织信息安全风险的风险评价准则:  业务信息过程的战略价值  相关信息资产的危急程度  法律法规的要求和合同的义务  运营和业务的可用性、保密性、完整性的重要程度  利益相关方的期望和认知,以及对信誉和名声的负面影响 另外,风险评价准则也可能被用于定义风险处置的优先级。 影响准则 应该在考虑以下内容的基础上开发影响准则,并以信息安全事态造成的对组织损害程度或成本的 方式加以说明:  受影响资产的分类级别  信息安全的违背(如保密性、完整性和可用性的丧失)  运行的受损(内部或第三方的)  损失的业务或财务价值 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 14 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn)  对计划和最后期限的破坏  声誉的损失  对法律法规或合同要求的违背 注:也可参见 ISO/IEC 27001 (条款 4.2.1d4)关于丧失保密性、完整性和可用性的影响准则的 识别。 风险接受准则 应该开发和阐述风险接受准则。风险接受准则的常常依赖于组织的方针、目的、目标以及利益相 关方的利益。 组织应该定义自身的风险接受级别的尺度。在开发风险可接受准则时,应该考虑以下方面:  风险接受准则可以包括带有风险期望目标级别的多道门槛,但在确定的情形下,提交给高层 管理者接受的风险可能超出该级别  风险可接受准则可以用估算收益(或业务收益)与估算风险的比值来描述  对不同类型的风险可以采用不同的风险接受准则,例如,导致对法律法规不符合的风险可能 是不可接受的,但可能允许接受导致违背合同要求的高风险  风险接受准则可以包括下一步的补充处置要求,例如,如果认可或承诺在确定的时间内将采 取行动以将风险降到可接受级别,则风险可以被接受 风险接受准则可能因预计风险将多长时间存在而不同,例如风险可能与一个临时或短期活动相关。 设定风险接受准则时,应该考虑:  业务准则  法律法规方面  运营  技术  财务  社会和人为因素 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 15 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 注:风险接受准则与 ISO/IEC 27001 中条款 4.2.1c)2)所描述的“接受风险的准则,识别可接受的 风险级别”相对应。 附录 A 中将提供更多的信息。 7.3. 范围和边界 组织应该定义信息安全风险管理的范围和边界。 需要定义信息安全风险管理过程的范围,以保证在风险评估过程中考虑到所有相关资产。另外, 需要定义边界(参见 ISO/IEC 27001 的条款 4.2.1a)以处理在边界处呈现的风险。 应该收集组织的相关信息,以确定其运营环境及其对信息安全风险管理过程的相关性。 在定义范围和边界时,组织应该考虑以下信息:  组织的业务战略目标、策略和方针  业务过程  组织的职能和结构  适用于组织的法律法规和合同义务的要求  组织的信息安全方针  组织风险管理的整体方法  信息资产  组织的位置及其地理特性  影响组织的约束条件  利益相关方的期望  社会文化环境  界面(与环境的数据交换) 另外,组织对任何排除在范围之外的,都应该提供正当的理由。 例如,风险管理范围的可能是一个 IT 应用、IT 基础设施、一个业务过程或组织的某个界定部分。 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 16 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 注:信息安全风险管理的范围和边界与 ISO/IEC 27001 4.2.1a 所要求的 ISMS 的范围和边界相对 应。 附录 A 中提供进一步的信息。 7.4. 信息安全的组织架构 应该设置和维持信息安全风险管理过程的组织架构和职责。下面是信息安全风险管理过程组织架 构的主要角色和职责:  开发适合组织的信息安全风险管理过程  识别和分析利益相关方  定义组织内、外部各方的角色和职责  在组织和相关利益方之间建立必要的联系,如组织高风险管理职能的接口(如运营风险管理), 以及与其它项目或活动之间的接口  定义决策升级路径  说明需要保存的记录 组织架构应该得到组织的合适的管理者的批准。 注:ISO/IEC 27001 要求确定并提供建立、运行、监视、维持和改进 ISMS 所需要的资源(5.2.1a)。 可以认为风险管理运营的组织架构是 ISO/IEC 27001 所要求的资源之一。 8. 信息安全风险评估 8.1. 信息安全风险评估综述 注:风险评估活动是指 ISO/IEC 27001 中的风险评估过程。 输入:已确定的信息安全管理过程的基本准则、范围和边界、组织架构。 活动:应该进行识别风险,进行定量或定性的描述,并依据风险评价准则和与组织目标的相关性 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 17 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 进行排序。 实施指南: 风险是非期望事态的发生所带来的后果与事态发生可能性的组合。风险的定量评估或定性描述使 得管理者能够按照他们感知的严重程度或其他已确定的准则对风险进行排序。 风险评估由以下活动组成:  风险分析(条款 8.2),包括: (cid:173) 风险识别 (条款 8.2.1) (cid:173) 风险估算(条款 8.2.2)  风险评价(条款 8.3) 风险评估确定信息资产的价值、识别适用的威胁和(存在或可能存在的)脆弱点、识别现有控制 措施及其对已识别风险的影响,确定潜在后果,对风险进行最终的优先级排序,并按照风险范畴 中设定的风险评价准则进行排名。 风险评估通常会进行两个(或多个)循环。首先进行纲领性的风险评估以识别需要进一步评估的 潜在高风险。下一个循环可能对最初循环中发现的潜在高风险进行进一步的深入考虑。如果风险 评估的信息不充分,则需要进行进一步的详细分析,这可能是针对整个范围当中的一部分,也可 能采用不同的办法。 组织基于风险评估的目的和目标选择自己的风险评估方法。 可以从附录 E 中找到有关风险评估方法的讨论信息。 输出:已评估的按照风险评价准则进行优先排序的风险清单。 8.2. 风险分析 8.2.1. 风险识别 8.2.1.1. 风险识别介绍 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 18 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 风险识别的目的是确定可能发生什么将导致潜在的损失, 并且洞察可能发生的损失将怎样发生、 在哪里发生、为什么发生。在随后条款 8.2.1 中所描述的步骤应该为风险估算活动收集数据。 注:随后条款中所描述的活动可能因所采用的办式不同,而按照不同的次序进行。 8.2.1.2. 资产识别 输入:将要进行风险评估的范围和边界,由所有者、位置、功能等构成的清单。 活动:在已确定范围内的资产应该得到识别(参考 ISO/IEC 27001 的条款 4.2.1d)1))。 实施指南: 资产是对组织有价值的任何东西,并因此需要加以保护。识别资产时应该铭记的是,一个信息系 统不仅仅由硬件和软件组成。 资产识别应该在适合的细节层面进行,以为风险评估提供充分的信息。资产识别的细节层面将影 响风险评估中所收集的信息总量。细节层面可以在后续的信息安全评估循环中优化。 应该为每一资产识别资产所有者,以为资产安排职责和责任。资产所有者可能并不拥有资产的所 有权,但承担资产的产生、开发、维护、使用以及合适的安全保护的责任。资产所有者通常是确 定资产对组织价值的最合适人选 (参见 8.2.2.2 资产赋值)。 审查边界以确定组织已定义的、应由信息安全风险管理过程管理的资产范围。 附录 B 提供有关信息安全的资产识别和赋值的更多信息。 输出:将要进行风险管理的资产清单,以及与资产相关的业务过程清单和相互关系。 8.2.1.3. 识别威胁 输入:从事件评审、资产所有者、使用者或其他来源,包括外部提供的威胁清单中,获得关于威 胁的信息。 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 19 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 活动:应该识别威胁和威胁的来源(参考 ISO/IEC 27001 的条款 4.2.1d) 2))。 实施指南: 威胁对如信息、过程、系统等资产构成潜在损害,并由此给组织带来损害。威胁可能是自然的或 人为的, 可能是意外或故意的。意外的或故意的威胁都应该得到识别。威胁可能来自组织内部和 外部。应该整体并按类型(如非授权行为、物理损坏、技术失效)识别威胁,从而已识别的通用 类别中的单个威胁得到识别。这意味着没有威胁被忽视,包括非预期,但所需要的工作量是有限 的。 有些威胁可能影响多个资产。在这种情形,因受影响的资产不同,威胁可能造成不同的影响。 可以从资产所有者或使用者、人力资源员工、设备管理者、信息安全专员、物理安全专家、法律 部门以及包括法律机构、气象部门、保险公司和政府机构等获得识别威胁和估算发生可能性所需 的输入。在处理威胁时,必须考虑环境和文化因素。 当前进行的评估,应该考虑从事件得到的内部经验和过去进行的威胁评估。在适当时,参考其他 的威胁清单(可能是针对某个组织或业务)以完善通用威胁清单。可以从行业机构、政府部门、 法律机构和保险公司获得威胁清单和统计资料。 在使用威胁清单或前期的威胁评估成果时,应该注意到的一点是,相关威胁是持续变化的,特别 当业务环境或信息系统发生变化时。 从附录 C 中可以找到有关威胁类型的更多信息。 输出:带有类型和来源的威胁识别清单。 8.2.1.4. 识别现有控制措施 输入:控制措施文档,风险处置实施计划 活动:应该识别现有的和已计划的控制措施。 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 20 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 实施指南: 应该识别现有控制措施,以避免不必要的工作和成本,如重复的控制措施。另外,在识别现有控 制措施时,应该进行检查以确保控制措施在有效工作 – 参考已有的 ISMS 审计报告可以减少这项 工作所花费的时间。如果控制措施没有按预期进行工作,将会形成脆弱点。应该关注已选择的控 制措施(或策略)的运行失效,并因此需要补充控制措施以有效处理风险。按照 ISO/IEC 27001, 一个 ISMS 由控制措施的有效性测量来支持。估算控制措施效果的一个方式是,看控制措施怎样 降低威胁发生的可能性、消除暴露的脆弱点或降低事件的影响。管理评审或审计报告也将提供有 关现有控制措施有效性的信息。 按照风险处置计划将要实施的控制措施应该视同已经实施的控制措施。 现有或计划的控制措施可能被识别为无效的、不充分的或不合理的。应该检查不充分或不合理的 控制措施,以确定是否应该取消、由其他更有效的控制措施替代或继续保持(如,因为成本因素)。 以下活动可能为识别现有或计划的控制措施提供帮助:  评审包含控制措施信息的文件(如,风险处置计划)。如果信息安全管理过程得到了很好的 文件化,应该可以获得所有的现有或计划的控制措施及其现状;  与信息安全责任人(如信息安全官和信息系统安全官、大楼管理员和运行管理员)和用户联 系,以确认对所考虑的信息过程或信息系统的哪些控制措施得到了真正的实施;  对照应该已实施的控制措施清单,对物理控制措施进行现场评审,并检查已实施的控制措施 是否正确、有效工作;或  评审内部审核的结果 输出:所有现有或计划的控制措施清单,控制措施的实施和使用状况。 8.2.1.5. 识别脆弱点 输入:已知的威胁清单,资产清单和现有控制措施清单 活动:应该识别可能被威胁利用以对资产或组织造成损害的脆弱点。 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 21 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 实施指南: 可以从以下领域识别脆弱点:  组织架构  过程和程序  管理惯例  人员  物理环境  信息系统配置  硬件、软件或通讯设备  对外部的依赖 脆弱性的存在本身不会形成损害, 它需要被某个威胁所利用。如果脆弱性没有对应的威胁,则可 以不需要实施控制措施,但应该注意并监视所发生的变化。应该注意到控制措施实施的不合理、 控制措施故障或控制措施的错误使用本身也是一个脆弱点。控制措施因其运行的环境,可能有效 或无效。相反,一个威胁如果没有对应的脆弱点,也不会导致风险的发生。 脆弱点可能与资产的使用方式、目的等属性有关,而不论资产购买和构建时的意图。需要考虑不 同来源的脆弱点,内在的或外来的。 可以从附录 D 中找到脆弱点的示例和脆弱性评估的方法。 输出:与资产、威胁和控制措施相关的脆弱点清单;待评审的与任何已识别的威胁不相关的脆弱 点清单。 8.2.1.6. 后果的识别 输入:资产清单、业务过程清单、威胁和脆弱点清单,适当时,包括相关资产及相互关系。 活动:资产丧失保密性、完整性和可用性的后果应该得到识别(参见 ISO/IEC 27001 条款 4.2.1d) 4))。 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 22 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 实施指南: 后果可能是有效性的丧失、不利的运行环境、业务的丧失、名誉的损失和损害等。 本阶段的活动识别由某个事件情景导致对组织的损害或后果。事件情景,是对在信息安全事件(参 见 ISO/IEC 27002 条款 13)中威胁利用某个特定的脆弱点或一组脆弱点的描述。根据在确定范 畴活动中所定义的影响准则,确定事件情景的影响。事件情景可能影响一个、多个资产或单个资 产的一部分。因此,可以按资产的财务成本和资产破坏或损坏后带来的业务影响,给资产赋值。 资产受到损害时,后果可能是临时性的,也可能是长期的。 注:ISO/IEC 27001 中用“安全失效”描述事件情景的发生。 组织应该识别事件情景在以下方面(但不限于)的运营后果:  调查和修复时间  (工作)时间的损失  机会的丧失  健康和人身安全  修复损伤所需特殊技能的财务成本  信誉和形象 可以在 B.3 影响评估中找到有关技术脆弱性评估的具体信息。 输出:与资产和业务过程相关的事件情景清单。 8.2.2. 风险估算 8.2.2.1. 风险估算办法 风险分析根据资产的重要性、已知脆弱点的范围以及以前与组织相关的事件,而进行到不同的具 体深度。估算办法根据条件,可以是定性的、定量的或者是两者的组合。实际上,通常首先采用 定性估算以获得一般性的风险级别指示和发现重大风险。 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 23 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 随后可能需要对重大风险进行更明确的或定量分析,因为通常定性分析比定量分析要简单,而且 花费要少。 分析的形式应该与作为确定范畴的一部分而制定的风险估算准则相一致。 估算办法更具体的内容描述如下: (a) 定性估算: 定性估算采用尺度分级属性(如低、中、高)来描述潜在后果的严重性和潜在后果发生的可能性。 定性估算的优点是易于所有相关人员的理解,同时其弱点是尺度选择对主观判断的依赖。 可以对尺度进行修订或调整,以适应当时的情况,并为不同的风险采用不同的描述。定性分析可 以用于:  作为最初的筛选活动,以识别需要进一步具体分析的风险  当定性分析对决策来说是合适时  当量化数据不足以进行定量估算时 定量分析应该使用可用的真实的信息和数据。 (b) 定量估算: 定量估算通过不同来源的数据,使用数字化的尺度来描述后果和可能性(而不是定性评估中所使 用的描述性尺度)。分析的质量依赖于量化数字的准确性和完整性,以及所使用模型的有效性。 在很多情况下,定量估算使用历史的事件数据,优势是其直接与信息安全目标和组织所关心的问 题相关。不足是缺乏新的风险或信息安全弱点的数据。当无法获得真实和可审计数据时,将显示 定量估算的不足,因为这将导致风险评估准确性和价值的假象。 后果和可能性的表达方式,以及其组合形成的风险等级的表达方式,将随着风险的类型和风险评 估输出的使用目的不同而变化。在进行有效分析和沟通时,应该考虑后果和可能性的不确定性和 可变性。 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 24 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 8.2.2.2. 后果的评估 输入:已识别的相关事件情景,包括识别威胁、脆弱点、受影响的资产、对资产和业务过程的后 果。 活动:应该在考虑违背信息安全,如丧失资产的保密性、完整性、可用性的基础上,评估可能或 实际的信息安全事件可能导致的对组织业务的影响(参考 ISO/IEC 27001 条款 4.2.1e) 1))。 实施指南: 在识别所有资产并评审后,在评估后果的同时应该给资产赋值。 业务影响可以用定性或定量来表示,但任何采用货币赋值的办法,一般可以为决策提供更多的信 息,从而有助于更有效的决策过程。 资产的赋值从按资产对满足业务目标的重要程度对资产进行分类开始。通过以下两种措施来确定 资产价值:  资产的替代价值:恢复清理和替换信息所需的成本(如果可行),以及  资产丧失或损坏的业务后果,如信息或其他信息资产的泄密、修改、不可用和/或破坏带来的 潜在业务负面影响和/或法律后果 可以从业务影响分析来赋值。资产价值根据资产对满足组织业务目标的重要性,由业务后果来确 定,通常比简单的替代成本高很多。 对事件情景,资产价值是影响评估的关键因素,因为事件可能影响到不只一个资产(如,关联资 产),或仅仅是资产的一部分。不同的威胁或脆弱点将对资产带来不同的影响,如丧失保密性、 完整性或可用性。因此后果的评估与基于业务影响分析的资产价值相关。 后果或业务影响可以由一个或一系列事态的输出模型来确定,或由实验研究或历史数据来推断。 后果可以用货币、技术或人身影响准则,以及与组织相关的其它准则来描述。在某些情形,对不 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 25 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 同的时间、地点、分类或环境需要多个价值数值来描述后果。 应该用相同的方法测量威胁的可能性和脆弱点在时间和财务上的后果。需要保持定性和定量方法 的一致性。 附录 B 提供有关资产赋值和影响评估的更多信息。 输出:用资产和影响准则来表示事件情形评估后果的清单。 8.2.2.3. 评估事件可能性 输入:已识别的相关事件情景,包括识别的威胁、受影响的资产、暴露的脆弱点、对资产和业务 过程的后果。此外,所有现有和计划的控制措施清单,以及控制措施的有效性、实施和使用状态。 活动:应该对事件情景的可能性进行评估(参考 ISO/IEC 27001, 条款 4.2.1e) 2))。 实施指南: 在识别事件情景后,需要利用定性或定量评估技术对每一情景的可能性和产生的影响进行评估。 这应该考虑威胁发生经常性和脆弱点被利用的容易程度,并考虑以下内容:  威胁发生可能性的经验值或可用的统计数据  对于来自故意的威胁:随时间的变化动机和能力,资源对可能进行攻击者的可用性,以及资 产对可能攻击者的吸引力和脆弱点  对来自意外的威胁:地理因素,如在化工厂或石油工厂的附件,极端天气的可能性,可能导 致人员过错或设备故障的因素  脆弱点, 单个脆弱点以及脆弱点的组合  现有控制措施及其怎样有效降低脆弱性 比如,某个信息系统可能存在能够被冒名用户不当使用的威胁所利用的脆弱点。因为缺乏用户的 验证,冒用用户身份的脆弱性可能很高。另一方面,尽管缺乏用户验证,但资源不正当使用的可 能性很低,因为不正当使用资源的方式很少。 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 26 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 根据对精确性的要求,可能对资产进行分类,也可能需要将资产分解到组件,并将事件情景与组 件相关联。例如,对跨区域的同一类型的资产,威胁的特性可能会有变化,或者现有控制措施的 有效性可能不同。 输出:事件情景的可能性(定性的或定量的) 8.2.2.4. 风险级别的估算 输入:事件情景清单,及其对资产和业务过程的后果和可能性(定性的或定量的)。 活动:应对所有相关的事件情景进行风险级别评估(参考 ISO/IEC 27001 条款 4.2.1 e) 4)) 实施指南: 风险估算:对风险的可能性和后果进行赋值。赋值可以是定性的或定量的。风险评估是基于后果 和可能性的评估。另外,可能考虑成本效益、相关利益方的疑虑,以及其他对风险评价适用的因 素。风险估算是某个事件情景的可能性及其后果的组合。 附录 E 提供不同信息安全评价的方法和办法的示例。 输出:分配有风险级别数值的风险清单。 8.3. 风险评价 输入:分配有风险级别数值的风险清单和风险评价准则。 活动:应该将风险级别与风险评价准则和风险接受准则进行比较(参考 ISO/IEC 27001,条款 4.2.1 e) 4))。 实施指南: 在建立风险范畴时已经确定用于风险决策的风险评价和风险评价准则的特性。在这一阶段,已经 知悉已识别风险的更多具体信息,应该对风险决策和范畴进行回顾。为评价风险,组织应该将已 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 27 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 评价风险(选用在附录 E 中讨论的办法或方法)与在建立范畴阶段确定的风险评价准则进行比较。 用于制定决策的风险评价准则应该与已定义的内外部风险管理范畴相一致,并考虑组织的目标和 利益相关方的观点。在风险评价活动中采取的决策主要基于风险可接受级别。但是,同时应该考 虑后果、可能性以及风险识别和分析的自信程度。多个中、低风险的组合,可能形成更高的综合 风险,并需要进行相应的处理。 应该考虑的内容包括:  信息安全属性:如果某一准则与组织不相关(如,保密性的丧失), 则所有影响着这一准则 的风险都不相关  由某一特定资产或一组资产所支持的业务过程或活动的重要性:如果过程被确定为不重要的, 则与影响更重要过程或活动的风险相比,与之相关的风险应该给与较低程度的关注。 风险评价利用从风险中获得的对风险的理解,来对将来的活动进行决策。决策包括:  是否进行某一活动  基于对所评价的风险级别的考虑,对风险处置进行优先级排序 在风险评价阶段,在估算的风险之上,还应该考虑合同义务和法律法规的要求。 输出:将事件情景所导致的风险按照风险评价准则进行优先级排序的风险清单。 9. 信息安全风险处置 9.1. 风险处置综述 输入:按照与导致风险的事件情景相关的风险评价准则进行风险优先排序的风险清单。 活动:应该选择降低、保持、避免或转移风险的控制措施,并制定风险处置计划。 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 28 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 实施指南: 风险处置有四个选项:风险降低(参见 9.2),风险保持 (参见 9.3),风险回避(参见 9.4)和 风险转移(参见 9.5)。 注:ISO/IEC 27001 4.2.1f)2) 用术语“接受风险”代替“保持风险”。 图 2 表示在图 1 所描述的信息安全风险管理过程中的风险处置活动。 图 2:风险处置活动 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 29 页 共 77 页 风险评估结果令人满意的评估风险处置选项风险降低风险保持风险回避风险处置残余风险令人满意的处置风险处置 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 应该基于风险评估的结果、实施这些选项的预计成本及预期收益来选择风险处置选项。 如果通过某一选项可以通过相对较低的花费大幅度降低风险,则应该实施该选项。如果下一步的 改进选项可能是不经济的,则需要判断是否合理。 一般而言,不论任何绝对准则,应该在切实可行的范围内降低风险的负面后果。管理者应该考虑 罕见但严重的风险。在这种情形下,可能需要实施控制措施,而不会严格按经济性进行判断(例 如为应对特定的高风险,而考虑业务连续性控制措施)。 风险处置的四个选项并不互相排斥。有时,组织可以通过选项的组合充分获益,如降低风险的可 能性、降低风险的后果,并转移或保持残余风险。 某些风险处置可能有效处理多个风险(如信息安全培训和意识教育)。风险处置计划应该清晰定 义所列出的单个需要实施的风险处置项的优先级,以及实施的时间框架。可以用不同的技术来确 定优先级,包括风险级别和成本效益分析。平衡实施控制措施的成本和预算安排,是组织管理者 的职责。 识别现有控制措施,可以通过与成本(包括控制措施的维护)相比较的方式,确定现有控制措施 确定是否超过当前的要求。如果考虑取消多余或不必要的控制措施(特别是控制措施存在很高的 维护成本时),应该考虑信息安全和成本因素。由于控制措施相互影响,取消多余的控制措施可 能降低现有的整体安全。另外,可能保留现有的多余或不必要的控制措施比取消这些控制措施的 成本更低。 风险处置选项,应该考虑:  受影响方对风险的感知是怎样的  与这些受影响方进行沟通的最合适方式 范畴的确定(参见 7.2 – 风险评价准则)提供了组织需要满足的法律法规要求方面的相关信息。 应该实施限制组织符合性失效风险的发生可能性的处置选项。在风险处置中应该考虑在范畴确定 活动中识别的所有限制 ----- 组织的、技术的、架构等。 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 30 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 风险处置计划一旦被界定,则需要确定残余风险。考虑建议的风险处置的预期效果,进行风险评 估的更新或再次循环。 如果残余风险仍不满足组织的风险接受准则,在提交以进行接受风险前,可能需要进行一步的风 险处置循环。可以从 ISO/IEC 27002 0.3 条款中获得更多的信息。 输入:提交风险处置计划和残余风险给组织管理者以进行风险接受决策。 9.2. 风险降低 活动:通过选择控制措施,风险级别应该被降低,使可以进行残余风险的再评估,以便可以被接 受。 实施指南: 应该选择适当和合理的控制措施,以满足风险评估和风险处置中识别的要求。控制措施的选择应 该考虑风险接受则以及法律、法规和合同义务的要求。还应该考虑实施控制措施的成本和时间表, 以及技术、环境、文化等因素。合理选择信息安全控制措施,常常会降低系统的整体拥有成本。 一般而言,控制措施可以提供以下一个或多个方面的保护:纠正、消除、预防、将影响最小化、 制止、检测、恢复、监视和意识。在选择控制措施时,权衡控制措施的采购、实施、管理、运行、 监视和维护的成本与被保护资产的价值。此外,在投资回报率中应该考虑特定控制措施所带来的 风险的降低和潜在的开发新业务的机会。另外,还应该考虑定义、实施新的控制措施或修改现有 控制措施所需的特定技能。 ISO/IEC 27002 提供有关控制措施的具体信息。 有很多可能影响控制措施选择的约束条件。如性能要求、可管理性(运行支持的要求)和兼容性 问题,可能妨碍某些控制措施的使用或可能导致人为错误及控制措施失灵,使得对安全的感知失 灵、甚至导致风险比没有控制措施时还要高(如要求使用强密码,但缺乏合适的培训,导致用户 将密码写下来)。 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 31 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 此外,可能的情形是控制措施对影绩效的影响。管理者应该尝试识别在满足绩效要求的同时保证 充分的信息安全的解决方案。该步骤的结果是,可能的控制措施清单以及措施的成本、收益和实 施的优先次序。 在选择和实施控制措施时,应该考虑多种约束条件。特别是以下约束:  时间约束  财务约束  技术约束  运行约束  文化约束  道德约束  环境约束  法律约束  易用性约束  人员约束  整合新建和现有控制措施的约束 可以从附录 F 中获得更多有关降低风险的约束的信息。 9.3. 风险保持 活动:根据风险评估,决定不采取进一步的活动而保持风险。 注:与 ISO/IEC 27001 4.2.1 f) 2)中 “在明显满足组织方针策略和接受风险的准则的条件下,有 意识的、可能的接受风险”所表达的意思相同。 实施指南: 如果风险级比满足风险接受准则,则不需要实施额外的控制措施,而风险可能被保持。 9.4. 风险回避 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 32 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 活动:应该规避导致特定风险的活动或条件。 实施指南: 如果认为所识别的风险太高,或实施其它控制处置选项成本超过了收益,则可以做出完全回避风 险的决策,取消计划的或现有的活动(或一系列活动),或者改变运行环境。如对于来自自然的 风险,将信息处理设施物理的转移到没有风险或风险受控的位置,可能是最符合成本经济效益的 选择。 9.5. 风险转移 活动:根据风险评估结果,对于特定风险最有效的管理,可能是将风险转移给其他方。 实施指南: 风险转移涉及与外部分担风险的决策。风险转移可能产生新的风险或改变现有的、已识别的风险。 由此,可能需要额外的风险处置。 风险转移可以通过保险公司来分担后果,或将监视信息系统并在攻击形成已定义级别损害前立即 采取行动制止攻击的职责外给合作伙伴。 应该指出的是,有可能转移风险管理的责任,但它通常不能够转移影响的法律责任。客户通常认 为是由于组织的过失导致的负面影响。 10. 信息安全风险的接受 输入:将风险处置计划和残余风险的评估提交给组织的管理者以进行接受风险的决策。 活动:应该正式记录风险接受决策的出台和相关的决策责任。(参考 ISO/IEC 27001 4.2.1h))。 实施指南: 本标准由 1DING 翻译,原标准版权属 ISO 组织所有,中译文仅供学习参考 http://1ding.org 最后更新日期 2008 年 10 月 7 日 第 33 页 共 77 页 ISO/IEC 27005:2008 信息技术 – 安全技术 – 信息安全技术风险管理 翻译:1DING (1ding@1ding.cn) 风险处置计划应该描述怎样处置被评估的风险以满足风险接受准则 (参见条款 7.2 风险接受准 则)。承担责任的管理者对被提议的风险处置计划和随之而来的残余风险的评审和批准,并记录 与批准相关的任何先决条件,是很重要的。 风险接受准则可能会很复杂,而不仅是是判断残余风险在门槛之上还是之下。 在某些情形,残余风险的级别可能不满足风险接受准则,因为目前适用的准则,没有考虑到当前 的情形。例如,可以认为有必要

信息安全管理体系实施指南-ISO_27005_2008_CN 第1页 第1页 / 共77页


信息安全管理体系实施指南-ISO_27005_2008_CN 第2页 第2页 / 共77页


信息安全管理体系实施指南-ISO_27005_2008_CN 第3页 第3页 / 共77页


信息安全管理体系实施指南-ISO_27005_2008_CN 第4页 第4页 / 共77页


信息安全管理体系实施指南-ISO_27005_2008_CN 第5页 第5页 / 共77页


信息安全管理体系实施指南-ISO_27005_2008_CN 第6页 第6页 / 共77页


信息安全管理体系实施指南-ISO_27005_2008_CN 第7页 第7页 / 共77页


信息安全管理体系实施指南-ISO_27005_2008_CN 第8页 第8页 / 共77页


信息安全管理体系实施指南-ISO_27005_2008_CN 第9页 第9页 / 共77页


信息安全管理体系实施指南-ISO_27005_2008_CN 第10页 第10页 / 共77页


信息安全管理体系实施指南-ISO_27005_2008_CN 第11页 第11页 / 共77页


信息安全管理体系实施指南-ISO_27005_2008_CN 第12页 第12页 / 共77页


说明:e文库 网站作为信息服务提供商,积极倡导原创、高质量的文档分享及各方权益的保护。本站只允许浏览文档前12页的内容,下载后的文档将可以浏览全部内容并且会比当前页面所见更加清晰,请放心下载!