ISO/IEC 27005标准将指导信息安全风险管理

　　目前，各类型的组织对可能危及其信息安全的威胁都十分关注，协调处理信息安全方面的问题已经成为各组织中信息技术（IT）部门的首要问题。新标准ISO/IEC 27005对信息安全风险管理的程序和相关行动进行了说明，该标准将帮助各组织规避信息安全方面的风险。

　　信息安全的威胁可能是蓄意的也可能是意外，其诱因可能是IT系统的使用也可能是IT物理和环境方面的影响。这些威胁可能采用身份盗取、网上交易、服务攻击、远程间谍、设备或文件盗窃，以及通过地震或气候现象，如火灾、水灾等形式显现。这些威胁将产生不同形式的影响，例如：财政上的损失、基础网络服务的损失、以及由电力供应中断和通信设备故障引起的用户信心下降。

　　ISO/IEC 27005“信息技术–安全技术–信息安全风险管理”为信息安全的风险管理提供指导，并支持ISO/IEC 27001“信息技术–安全技术–信息安全管理系统–要求”中规定的一般概念。该标准旨在协助信息安全管理体系标准ISO / IEC 27001的执行。ISO/IEC 27001和ISO/IEC 27002中描述的概念、模式、程序和术语对全面了解该国际标准将产生十分重要的作用。

　　信息安全风险管理程序的构成如下：

　　●背景建立；

　　●风险评估；

　　●风险处理；

　　●风险认可；

　　●风险通信；

　　●风险监测及审查。

　　但是，ISO/IEC 27005并没有为信息安全风险管理提供任何具体的方法。各个组织将确定自己的风险管理方法，如依靠信息安全管理系统的范围，基于风险管理的背景等方法确立。

　　ISO/IEC 27005“信息技术–安全技术–信息安全风险管理”由联合技术委员会ISO/IEC JTC 1下属的IT安全技术SC 27分委员会制定。(齐旭翻译)