目录 前言 引言 1范围 2规范性引用文件 3术语与定义 4 本文件结构 5 背景 6信息安全风险管理 过程概述 7 环境创建 7.1总则 7.2 基本准则 7.2.1风险管理方法 7.2.2风险评估准则 7.2.3影响准则 7.2.4风险接受 准则 7.3范围和边界 7.4信息安全风险管理组织 8信息安全风险评估 8.1信息安全风险评估概述 8.2风险识别 8.2.1风险识别导论 8.2.2资产的识别 8.2.3威胁识别 8 .2.4现有控件的 识别 8.2.5脆弱点识别 8.2.6后果的认定 8.3风险分析 8.3.1风险分析方法 8.3.2后果评估 8.3.3事件可能性评估 8.3.4风险水平的确定 8.4风险评估 9信息安全风险处理 9.1风险处理概述 9.2风险修正 9.3风险保留 9.4风险规避 9.5风险转移 10信息安全风险接受 11信息安全风险沟通与 协商 12信息安全风险监测与评估 12.1风险因素的监测与评审 12.2风险管理的监控、审核和改进 附录 A（资料性）信息安全风险管理过程范围和 边界的确定 附件 B（资料性）资产的识别与评估及影响评估 附件 C（资料性）典型威胁实例 附录 D（资料性）脆弱性 和脆弱性评估方法 附录 E（资料性）信息安全风险评估方法 附录 F（资料性）风险修正的约束条件 参考文献 前言 ISO（国际标准化组织）和 IEC（国际电工委员会）构成了全球标准化的专门系统。作为 ISO或IEC成员 的国家机构通过各自组织为处理特定技术活动领域而设立的技术委员会参与制定国际标准。 ISO和IEC技术 委员会在共同关心的领域进行合作。与 ISO和IEC联络的其他国际组织，政府和非政府组织也参与了这项工 作。在信息技术领域， ISO和IEC建立了一个联合技术委员会 ISO/IEC JTC 1 。 ISO/IEC指令第 1部分描述了用于开发本文件以及用于进一步维护该文件的过程。特别应注意的是，不 同类型的文件需要不同的批准标准。本文件是按照 ISO/IEC指令第 2部分的编辑规则起草的（见 www .iso .org/directives ）。 注意到该文件的某些元素可能是专利权的主体。 ISO和IEC不应负责识别任何或所有此类专利权利。在 文件开发过程中确定的任何专利权的细节将在所收到的专利声明的介绍和 /或ISO清单中（见 www .iso .org/pat ents） 在本文件中使用的任何商品名称都是为了方便用户而提供的信息，并不构成背书。 关于标准的自愿性质的解释，有关合格评定的 ISO特定术语和表达的含义，以及关于 ISO在技术性贸易 壁垒 (TBT)中遵守世界贸易组织 (WTO)原则的信息，见 如下网址： www .iso .org/iso/foreword .html. 本文件由 ISO/IEC JTC 1 技术委员会 SC 27信息技术 IT安全技术 分委员会编写。 本文件中的任何反馈或问题应指向用户的国家标准机构。这些 机构的完整列表可 在如下网址查找： www .iso . org/members .html. 这第三版 在技术上已被修订， 取消和替换了第二版（ ISO/IEC 2700 5:2011），与上一版本的主要变化如下： ——所有的 ISO/IEC 27001:2005 的直接引用已被删除； ——已添加明确信息，本文件不包含关于执行 ISO/IEC 27001 中规定的 ISMS要求的直接指导（见导言） ； —— ISO/IEC 27001:2005 已从第 2章中删除； —— ISO/IEC 27001 已被添加到 参考文献目录 中； ——附件 G及其所有引用已被删除； ——据此进行了相应的 编辑性修改。 引言 本文件提供了组织中信息安全风险管理的指导方针。然而，本文没有提供任何具体的信息安全风险管 理方法。由组织来确定他们的风险管理方法，这取决于例如信息安全管理体系（ ISMS）的范围、风险管理 的环境或行业领域。在本文描述的框架下，可以使用许多现有的方法来实现 ISMS的要求。本文基于 ISO/IEC 27001不再要求的识别资产、威胁和脆弱性风险 的方法，还有一些 可以使用的 其他方法。 本文件不包含关于 实施 ISO/IEC 27001 中给出的 ISMS要求的直接指导。 本文件与组织内负责信息安全风险管理的管理 人员和工作人员 有关，并酌情涉及支持此类活动的外部 各方。 信息技术 安全技术 信息安全风险管理 1范围 本文件为信息安全风险管理提供了指导方针。本文件支持 ISO/IEC 27001 中规定的一般概念，旨在帮助 基于风险管理方法的信息安全的满意实现。 ISO/IEC 27001 和ISO/IEC 27002 中描述的过程和术语对于完全理 解本文件非常重要。 本文件适用于所有类型的试图管理可能危及组织信息安全的风险的组织（例如，商业企业、政府机构、 非营利组织） 。 2规范性引用文件 以下文件在正文中被提及，其部分或全 部内容构成本文件的要求。对于 注有日期 的引用文件 ，只有引 用的版本适用。未注明日期的 引用文件 ，引用文件的最新版本（包括任何修订）适用。 ISO/IEC 27000 信息技术 安全技术 信息安全管理系统 概述和词汇 3术语和定义 就本文件而言， ISO/IEC 27000 和以下给出的术语和定义适用。 ISO和IEC维护用于标准化的术语数据库，地址如下： ---- ISO在线浏览平台 ：http://www.iso.org/obp ---- IEC 电子化平台 :http://www.electropedia.org 4本文结构 本文件包含信息安全风险管理过程及其活动 的描述。背景信息在第 5章中给出 。 信息安全风险管理 过程的综述在第 6章中给出。 所有信息安全风险管理活动 如第 6章所示随后在以下条款中描述： ——第7章：环境创建； ——第8章：风险评估 ——第9章：风险处理 ——第10章：险接受； ——第11章：风险沟通； ——第12章：风险监测和 评估 附件中提供了信息安全风险管理活动的其他信息。环境创建由附件 A（信息安全风险管理过程的范围和 边界的确定）支持。资产和影响评估的识别和评估在附件 B中讨论。附录 C给出典型威胁的例子和附 件D 讨论脆弱性和脆弱性评估方法。附录 E列出了信息安全风险评估方法的例子。 风险修正的约束在附件 F中给出。 第7条至第 12条所列的所有风险管理活动如下： 输入：识别执行活动所需的任何信息。 动作：描述活动。 实施指南：为执行行动提供指导。有些指导可能不适用于所有情况，因此执行其他行动的方式可能更合适。 输出：标识执行该活动后得到的任何信息。 5背景 为了识别组织对信息安全 要求和建立有效的信息安全管理 体系（ISMS）的需求，必须采用系统的方法 进行信息安全风险管理。这种方法应该适合组织的环境，尤其应该与整个企业风 险管理保持一致。安全工 作应及时有效地解决风险。信息安全风险管理应当是所有信息安全管理活动的一个组成部分，并且应当应 用于 ISMS的实施和正在进行的操作。 信息安全风险管理应该是一个持续的过程。该过程应该建立外部和内部环境，评估风险，并使用风险 处理计划来处理风险，以执行建议和决策。风险管理在决定应该做什么以及何时将风险降低到可接受的水 平之前，分析可能发生的事情和可能的后果。 信息安全风险管理应有助于以下 ： ——识别风险； ——评估风险的后果 和发生的可能性； ——沟通和理解这些风险的可能性和后果； ——确定风险处理的优先顺序； ——降低风险的 措施优先次序； ——利益相关者参与风险管理决策并随时了解风险管理状况； ——监测风险处理的有效性； ——风险和风险管理过程 的定期监测和评审 ； ——获取信息以改进风险管理方法； ——管理人员和员工 受到关于 风险和采取行动 降低风险的教育 。 信息安全风险管理过程可应用于整个组织、组织的任何离散部分 (例如，部门、物理位置、服务 )、任何 信息系统、现有的或 规划的或受控的特定方面 （例如，业务连续性规划 ）。 6信息安全风险管理 过程概述 在ISO 31000 中给出了 风险管理过程的 高层示图 ，如图 1所示。 图 1 — 风险管理过程 图2展示了本文件如何应用风险管理过程。 信息安全风险管理过程包括 环境创建 （第 7条） 、风险评估（第 8条） 、风险处理（第 9条） 、风险接受 （第 10条） 、风险沟通和协商（第 11条）以及风险监测和审查（第 11条） 。 图2—信息安全风险管理过程的说明 如图 2所示，举例说明，信息安全风险管理过程可以被迭代用于风险评估和 /或风险处理活动。迭代的 风险评估方法可以在每次迭代中增加评估的深度和细节。迭代方法在识别控制 所费时间最小化与