如何正确认知ISO/IEC 27001中的风险管理过程

文章预览

点击上方蓝色字“ Sky的安全观 ”关注我们 ISO/IEC 27001中的风险管理过程，也可以称之为ISO/IEC 27001中的风险管理体系，也因此ISO/IEC 27001中的风险管理是一个系统化的过程，并且涉及ISO/IEC 27001的多个条款。 在ISO/IEC 27001中，与风险管理有关条款有 4.1 ， 4.2 ， 6.1.1 ， 6.1.2 ， 6.1.3 ， 8.2 以及 8.3 。根据ISO/IEC 27003中的实施指南，我们可以知道，这些条款涉及的风险管理分为两大类， 一 类是按照6.1.1要求对4.1和4.2的输出进行风险识别和管控 ， 二类是按照 6.1.2，6.1.3，8.2以及8.3对信息资产的三个安全属性（保密性，完整性和可用性）进行的风险识别和风险处置 。 在目前国内的实践中，大部分个人或组织，一般都只关注了第二类的风险管理，并且在实践过程中千遍一律地生搬硬套了ISO/IEC 27005提供的方法，结果导致即便是关注了，但是在实践中失去意义，沦 ………………………………