ISO/IEC 27005:2018信息安全技术风险管理标准提供了有助于实施ISO27001风险管理方面的指南。ISO/IEC 27005:2018信息安全技术风险管理标准涵盖了信息安全风险管理的各个方面,包括:
建立风险管理环境;
定义风险评估和接受标准;
识别,分析和评估风险的步骤;
实施风险处理计划并进行持续的风险监控和审查。
但是,ISO/IEC 27005:2018信息安全技术风险管理标准没有提供任何特定的风险管理方法。 组织需要定义自己的方法。 组织可以通过参考以下内容来做到这一点:
该组织的ISMS范围;
组织风险管理的背景;
该组织的行业部门。
值得注意的是,ISO/IEC 27005:2018信息安全技术风险管理标准不包含有关实施ISO27001中规定的ISMS要求的直接指南。ISO/IEC 27005:2018信息安全技术风险管理标准中实施ISMS的方法基于不再需要的资产,威胁和漏洞风险识别方法ISO27001。
ISO/IEC 27005:2018信息安全技术风险管理标准适用于所有类型的组织,无论它是商业企业,政府机构还是非营利组织。 当组织打算管理可能危及组织信息安全的风险时,该标准适用。
ISO/IEC 27005:2018信息安全技术风险管理标准可用于:
组织的负责信息安全风险管理的经理和人员;
支持组织信息安全风险管理的外部各方。
ISO/IEC 27005:2018是指在ISO27001和ISO27002中设置的概念,模型,过程和术语。
