1、ISO/IEC 27005:2008信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理Information Technology Security techniques -Information security risk management目錄 HYPERLINK l _TOC_250020 前言4 HYPERLINK l _TOC_250019 介紹5 HYPERLINK l _TOC_250018 范圍6 HYPERLINK l _TOC_250017 規(guī)范性引用文件6 HYPERLINK l _TOC_250016 術(shù)語和定義6 HYPERLINK l _TOC_250015 本國際標(biāo)準(zhǔn)的結(jié)構(gòu)8 H

2、YPERLINK l _TOC_250014 背景9 HYPERLINK l _TOC_250013 信息安全風(fēng)險(xiǎn)管理過程概述10 HYPERLINK l _TOC_250012 確定范疇13 HYPERLINK l _TOC_250011 7.1. 總則13 HYPERLINK l _TOC_250010 基本準(zhǔn)則13 HYPERLINK l _TOC_250009 范圍和邊界16 HYPERLINK l _TOC_250008 信息安全的組織架構(gòu)17信息安全風(fēng)險(xiǎn)評(píng)估17 HYPERLINK l _TOC_250007 信息安全風(fēng)險(xiǎn)評(píng)估綜述17 HYPERLINK l _TOC_250006

3、 風(fēng)險(xiǎn)分析18風(fēng)險(xiǎn)識(shí)別18風(fēng)險(xiǎn)估算23 HYPERLINK l _TOC_250005 風(fēng)險(xiǎn)評(píng)價(jià)27信息安全風(fēng)險(xiǎn)處置28風(fēng)險(xiǎn)處置綜述28 HYPERLINK l _TOC_250004 風(fēng)險(xiǎn)降低31 HYPERLINK l _TOC_250003 風(fēng)險(xiǎn)保持32 HYPERLINK l _TOC_250002 風(fēng)險(xiǎn)回避32 HYPERLINK l _TOC_250001 風(fēng)險(xiǎn)轉(zhuǎn)移33 HYPERLINK l _TOC_250000 信息安全風(fēng)險(xiǎn)的接受33信息安全風(fēng)險(xiǎn)的溝通34信息安全監(jiān)視和評(píng)審35監(jiān)視和評(píng)審風(fēng)險(xiǎn)因子35風(fēng)險(xiǎn)管理監(jiān)視、評(píng)審和改進(jìn)37附錄 A （資料性） 界定信息安全風(fēng)險(xiǎn)管理過程的范

4、圍和邊界38對(duì)組織進(jìn)行研究38影響組織的約束清單39適用于組織的法律法規(guī)的參考清單42影響范圍的約束清單42附錄 B （資料性） 資產(chǎn)的識(shí)別和賦值以及影響評(píng)估44資產(chǎn)識(shí)別的例子44基本資產(chǎn)的識(shí)別44支持性資產(chǎn)的清單和描述45資產(chǎn)賦值52影響評(píng)估56附錄 C （資料性） 典型威脅示例57附錄 D （資料性）脆弱點(diǎn)和脆弱性評(píng)估方法61脆弱點(diǎn)示例61評(píng)估技術(shù)性脆弱點(diǎn)的方法65附錄 E （資料性）信息安全風(fēng)險(xiǎn)評(píng)估方法66E.1 綱領(lǐng)性信息安全風(fēng)險(xiǎn)評(píng)估66詳細(xì)的信息安全風(fēng)險(xiǎn)評(píng)估68示例 1：預(yù)定值矩陣68示例 2：通過風(fēng)險(xiǎn)值進(jìn)行威脅評(píng)級(jí)71示例 3：為風(fēng)險(xiǎn)的可能性和可能的后果賦值71附錄 F （資料性）

5、降低風(fēng)險(xiǎn)的約束73前言ISO（國際標(biāo)準(zhǔn)化組織）和IEC （國際電工委員會(huì)）構(gòu)成世界范圍內(nèi)的標(biāo)準(zhǔn)化專門體系。國家機(jī)構(gòu)作為ISO或IEC的成員，通過由處理特定技術(shù)領(lǐng)域的相應(yīng)組織所建立的技術(shù)委員會(huì)參與開發(fā)國際標(biāo)準(zhǔn)。ISO和IEC的技術(shù)委員會(huì)在共同關(guān)心的領(lǐng)域合作。其他的國際性組織，官方或非官方的，也與ISO和IEC聯(lián)系，參與部分工作。在信息技術(shù)領(lǐng)域，ISO/IEC 建立了聯(lián)合技術(shù)委員會(huì)， IEO/IEC JTC 1。國際標(biāo)準(zhǔn)依據(jù)ISO/IEC 指南第2部分起草。聯(lián)合技術(shù)委員會(huì)的主要任務(wù)是起草國際標(biāo)準(zhǔn)。被聯(lián)合技術(shù)委員會(huì)接受的國際標(biāo)準(zhǔn)草案，將提交過國家機(jī)構(gòu)進(jìn)行投票。成為國際標(biāo)準(zhǔn)公開發(fā)布，則需要至少75%的

6、國家機(jī)構(gòu)投贊成票。應(yīng)注意本標(biāo)準(zhǔn)的某些內(nèi)容可能涉及專利。ISO和IEC不負(fù)責(zé)識(shí)別任何專利。ISO/IEC 20000-1由ISO/IEC JTC1信息技術(shù)聯(lián)合技術(shù)委員會(huì)SC27安全技術(shù)分起草。ISO/IEC 27005的第一版作為技術(shù)性修訂，廢棄和替代了ISO/IEC TR 13335-3:1998, and ISO/IEC TR 13335-4:2000。信息技術(shù) 安全技術(shù) 信息安全風(fēng)險(xiǎn)管理范圍本國際標(biāo)準(zhǔn)為信息安全風(fēng)險(xiǎn)管理提供指南。本國際標(biāo)準(zhǔn)支持ISO/IEC 27001所描述的一般概念，并致力于協(xié)助實(shí)施符合要求的、基于風(fēng)險(xiǎn)管理方法的信息安全。理解 ISO/IEC 27001 和 ISO/IE

7、C 27002 所描述的概念、模型、過程和術(shù)語，對(duì)于完整理解本標(biāo)準(zhǔn)是很重要的。本標(biāo)準(zhǔn)適用于試圖管理危及組織信息安全風(fēng)險(xiǎn)的各種類型組織（如，商業(yè)企業(yè)、政府機(jī)構(gòu)、非盈利組織）。規(guī)范性引用文件下列參考文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注明日期的引用文件，只有引用的版本適用于本標(biāo)準(zhǔn)；凡是不注日期的引用文件，其最新版本（包括任何修改）適用于本標(biāo)準(zhǔn)。ISO/IEC 27001:2005，信息技術(shù) 安全技術(shù) 信息安全管理體系 要求ISO/IEC 27002:2005，信息技術(shù) 安全技術(shù) 信息安全管理使用規(guī)則術(shù)語和定義下列術(shù)語和定義以及 ISO/IEC 27001、ISO/IEC 27002 中的術(shù)語和定

8、義適用于本標(biāo)準(zhǔn)。Impact 影響給達(dá)成的業(yè)務(wù)目標(biāo)級(jí)別帶來不利的變化Information Security Risk 信息安全風(fēng)險(xiǎn)某種特定的威脅利用資產(chǎn)或一組資產(chǎn)的脆弱點(diǎn)，導(dǎo)致這些資產(chǎn)受損或破壞的潛在可能注：通常用事態(tài)的可能性及其后果的組合來測(cè)量。risk avoidance 風(fēng)險(xiǎn)回避決定不卷入風(fēng)險(xiǎn)處境或從風(fēng)險(xiǎn)處境中撤出 ISO/IEC Guide 73:2002risk communication 風(fēng)險(xiǎn)溝通在決策者或其他利益相關(guān)方之間交換或共享有關(guān)風(fēng)險(xiǎn)的信息 ISO/IEC Guide 73:2002risk estimation 風(fēng)險(xiǎn)估算對(duì)風(fēng)險(xiǎn)的可能性和后果進(jìn)行賦值的過程 ISO/IEC

9、 Guide 73:2002注 1：對(duì)于風(fēng)險(xiǎn)估算，在本國際標(biāo)準(zhǔn)范疇內(nèi)，用術(shù)語 “活動(dòng)”替代術(shù)語“過程”。注 2：對(duì)于風(fēng)險(xiǎn)估算，在本國際標(biāo)準(zhǔn)范疇內(nèi)，用術(shù)語“可能性”替代術(shù)語“概率”。risk identification 風(fēng)險(xiǎn)識(shí)別發(fā)現(xiàn)、列出并描述風(fēng)險(xiǎn)要素的過程 ISO/IEC Guide 73:2002注 1：對(duì)于風(fēng)險(xiǎn)識(shí)別，在本國際標(biāo)準(zhǔn)范疇內(nèi)，用術(shù)語 “活動(dòng)”替代術(shù)語“過程”。risk reduction 風(fēng)險(xiǎn)降低采取行動(dòng)降低風(fēng)險(xiǎn)發(fā)生的可能性或減輕負(fù)面后果，或同時(shí)降低風(fēng)險(xiǎn)發(fā)生的可能性和減輕負(fù)面后果ISO/IEC Guide 73:2002注：對(duì)于風(fēng)險(xiǎn)降低，在本國際標(biāo)準(zhǔn)范疇內(nèi)，用術(shù)語“可能性”替代

10、術(shù)語“概率”。risk retention 風(fēng)險(xiǎn)保持接受特定風(fēng)險(xiǎn)帶來的損失或收益 ISO/IEC Guide 73:2002注：在信息安全風(fēng)險(xiǎn)范疇內(nèi)，風(fēng)險(xiǎn)保持只考慮負(fù)面后果（損失）。risk transfer 風(fēng)險(xiǎn)轉(zhuǎn)移與其它組織分擔(dān)風(fēng)險(xiǎn)的損失或收益 ISO/IEC Guide 73:2002注：在信息安全風(fēng)險(xiǎn)范疇內(nèi)，轉(zhuǎn)移風(fēng)險(xiǎn)只考慮負(fù)面后果（損失）。本國際標(biāo)準(zhǔn)的結(jié)構(gòu)本標(biāo)準(zhǔn)包含信息安全風(fēng)險(xiǎn)管理過程及活動(dòng)的描述。條款 5 提供背景信息。條款 6 提供信息安全風(fēng)險(xiǎn)管理過程的概述。條款 6 提及的所有信息安全管理活動(dòng)在隨后的以下條款中敘述：條款 7 確定風(fēng)險(xiǎn)管理范疇，條款 8 描述風(fēng)險(xiǎn)評(píng)估，條款 9 描

11、述風(fēng)險(xiǎn)處置，條款 10 描述風(fēng)險(xiǎn)接受，條款 11 描述風(fēng)險(xiǎn)溝通，條款 12 描述風(fēng)險(xiǎn)監(jiān)視和評(píng)審。附錄提供有關(guān)信息安全風(fēng)險(xiǎn)管理活動(dòng)的補(bǔ)充信息。附錄 A（定義信息安全管理過程的范圍和邊界）為建立風(fēng)險(xiǎn)評(píng)估范疇提供支持。附錄 B（資產(chǎn)示例）、附錄 C（典型威脅示例）和附錄 D（典型脆弱點(diǎn)示例）討論有關(guān)資產(chǎn)的識(shí)別和賦值以及影響的評(píng)估。附錄 E 提供信息安全風(fēng)險(xiǎn)評(píng)估方法的示例。附錄 F 表述降低風(fēng)險(xiǎn)的約束條件。從條款 7 到條款 12 描述的所有風(fēng)險(xiǎn)管理活動(dòng)采用如下結(jié)構(gòu)： 輸入：識(shí)別執(zhí)行活動(dòng)所必需的任何信息?；顒?dòng)：活動(dòng)的描述。實(shí)施指南：提供執(zhí)行活動(dòng)的指南。指南的部分內(nèi)容可能不適用于所有情形，并且執(zhí)行活動(dòng)的

12、其他方式可能更為合適。輸出：識(shí)別活動(dòng)執(zhí)行后所得到的任何信息。背景信息安全風(fēng)險(xiǎn)管理的系統(tǒng)化方法對(duì)于識(shí)別組織有關(guān)信息安全要求和建立有效的信息安全管理體系（ISMS）來說是必須的。信息安全風(fēng)險(xiǎn)管理方法應(yīng)該適合于組織的環(huán)境，特別是應(yīng)該與組織的整體風(fēng)險(xiǎn)管理相一致。應(yīng)該按照需要的時(shí)間和地點(diǎn)，以有效和及時(shí)的方式處理風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)管理應(yīng)該是構(gòu)成整個(gè)信息安全管理活動(dòng)的一部分，并應(yīng)該應(yīng)用于 ISMS 的實(shí)施和持續(xù)運(yùn)行中。信息安全風(fēng)險(xiǎn)管理是一個(gè)持續(xù)的過程。該過程應(yīng)該建立范疇，評(píng)估風(fēng)險(xiǎn)，并利用風(fēng)險(xiǎn)處置計(jì)劃來實(shí)施建議和決策以處置風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理分析，是在決定應(yīng)該做什么和什么時(shí)候做之前分析可能發(fā)生什么以及可能的后果是什

13、么，以將風(fēng)險(xiǎn)降低到可以接受的級(jí)別。信息安全風(fēng)險(xiǎn)管理應(yīng)該為以下方面提供幫助：識(shí)別風(fēng)險(xiǎn)依據(jù)風(fēng)險(xiǎn)造成的業(yè)務(wù)后果和發(fā)生的可能性進(jìn)行風(fēng)險(xiǎn)評(píng)估就風(fēng)險(xiǎn)的后果和可能性進(jìn)行溝通并達(dá)成理解建立風(fēng)險(xiǎn)處置的優(yōu)先次序?qū)档惋L(fēng)險(xiǎn)的活動(dòng)進(jìn)行排序在做出風(fēng)險(xiǎn)管理決策時(shí)，讓利益相關(guān)方參與，并及時(shí)告知風(fēng)險(xiǎn)管理的狀態(tài)有效監(jiān)視風(fēng)險(xiǎn)處置監(jiān)視風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理過程，并定期評(píng)審收集信息以改進(jìn)風(fēng)險(xiǎn)管理方法應(yīng)該對(duì)管理者和員工進(jìn)行有關(guān)風(fēng)險(xiǎn)和減輕風(fēng)險(xiǎn)所應(yīng)采取行動(dòng)的培訓(xùn)信息安全風(fēng)險(xiǎn)管理過程可能應(yīng)用于整個(gè)組織，組織的任何部分（如部門、物理區(qū)域或某個(gè)服務(wù)）， 任何信息系統(tǒng)，現(xiàn)有、計(jì)劃或特定部分的控制措施（如業(yè)務(wù)連續(xù)性計(jì)劃）。信息安全風(fēng)險(xiǎn)管理過程概述信息安全風(fēng)

14、險(xiǎn)管理過程由確定范疇（條款 7）、風(fēng)險(xiǎn)評(píng)估（條款 8）、風(fēng)險(xiǎn)處置（條款 9）、風(fēng)險(xiǎn)接受（條款 10）、風(fēng)險(xiǎn)溝通（條款 11）以及風(fēng)險(xiǎn)監(jiān)視和評(píng)審（條款 12）組成。如圖 1 所示，信息安全風(fēng)險(xiǎn)管理過程可能循環(huán)進(jìn)行風(fēng)險(xiǎn)評(píng)估和/或風(fēng)險(xiǎn)處置活動(dòng)。風(fēng)險(xiǎn)評(píng)估的循環(huán)方法能夠使得每一次循環(huán)更加深入和具體。循環(huán)方法可以在確保高風(fēng)險(xiǎn)被準(zhǔn)確識(shí)別和在識(shí)別控制措施上花費(fèi)最小的時(shí)間和精力之間尋找平衡。首先確定范疇。然后進(jìn)行風(fēng)險(xiǎn)評(píng)估。如果風(fēng)險(xiǎn)評(píng)估為進(jìn)行有效決策的提供了充分的信息，以確定將風(fēng)險(xiǎn)降低到可接受級(jí)別所需活動(dòng)，則風(fēng)險(xiǎn)評(píng)估任務(wù)結(jié)束，開始進(jìn)行風(fēng)險(xiǎn)處置。如果信息不夠充分，則進(jìn)行另外一個(gè)修訂范疇和風(fēng)險(xiǎn)評(píng)估的循環(huán)，也可能是整個(gè)

15、范圍內(nèi)的部分內(nèi)容進(jìn)行循環(huán)。有效的風(fēng)險(xiǎn)處置依賴于風(fēng)險(xiǎn)評(píng)估的結(jié)果。風(fēng)險(xiǎn)處置可能不會(huì)立即將殘余風(fēng)險(xiǎn)降低到可以接受的級(jí)RISK ANALYSIS風(fēng)險(xiǎn)分析RISK INDENTIFICATION風(fēng)險(xiǎn)識(shí)別RISK ESTIMATION風(fēng)險(xiǎn)估計(jì)RISK EVALUATION風(fēng)險(xiǎn)評(píng)價(jià)RISKM MONITORING AND REVIEWRISK COMMUNICATIONRISK ASSEMENT風(fēng)險(xiǎn)評(píng)估RISK DECISION POINT 1Assessment satisfactory風(fēng)險(xiǎn)決策點(diǎn)1風(fēng)險(xiǎn)評(píng)估是否滿足要求？NOYESRISK DECISION POINT 2Treatment satisfa

16、ctory風(fēng)險(xiǎn)決策點(diǎn)2風(fēng)險(xiǎn)處置是否滿足要求？NOYESRISK ACCEPTENCE風(fēng)險(xiǎn)接受RISK TREATMENT風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)監(jiān)視和評(píng)審CONTEXT ESTABLISHMENT確定范疇風(fēng)險(xiǎn)溝通別。對(duì)于這種情形，可能需要變更風(fēng)險(xiǎn)范疇參數(shù)（如風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)接受或影響的準(zhǔn)則）再次進(jìn)行的風(fēng)險(xiǎn)評(píng)估循環(huán)，并可能需要進(jìn)一步的風(fēng)險(xiǎn)處置（參見圖 1， 風(fēng)險(xiǎn)決策點(diǎn) 2）。END OF FIRST OR SUBSEQUENT ITERACTION結(jié)束首個(gè)或后續(xù)循環(huán)圖 1 信息安全風(fēng)險(xiǎn)處理過程風(fēng)險(xiǎn)接受活動(dòng)需要確保殘余風(fēng)險(xiǎn)被組織的管理者明確接受。對(duì)于控制措施被取消或推遲實(shí)施（如， 因成本問題）的情形，管理層的明

17、確接受就更為重要。在整個(gè)信息安全風(fēng)險(xiǎn)管理過程中，向相應(yīng)的管理者和員工傳達(dá)風(fēng)險(xiǎn)和風(fēng)險(xiǎn)的處置是很重要的。甚至在風(fēng)險(xiǎn)處置前，有關(guān)已識(shí)別的風(fēng)險(xiǎn)信息對(duì)于管理事件可能是很有價(jià)值的，并可以幫助降低潛在損失。管理者和員工的風(fēng)險(xiǎn)意識(shí)、降低風(fēng)險(xiǎn)的現(xiàn)有控制措施的特性以及組織所關(guān)心的區(qū)域，將為處理事件和非預(yù)期事態(tài)提供有效的幫助。信息安全風(fēng)險(xiǎn)管理過程的每一活動(dòng)及兩個(gè)風(fēng)險(xiǎn)決策點(diǎn)的詳細(xì)結(jié)果應(yīng)該形成文件。ISO/IEC 27001 規(guī)定的 ISMS 的范圍、邊界和范疇內(nèi)所實(shí)施的控制措施應(yīng)是基于風(fēng)險(xiǎn)的。信息安全風(fēng)險(xiǎn)管理過程的應(yīng)用可以滿足這項(xiàng)要求。有很多在組織內(nèi)成功實(shí)施風(fēng)險(xiǎn)管理過程的方法。組織每一具體的過程應(yīng)用所使用的任何過程方

18、法，應(yīng)該是最適合于自身情形的。在 ISMS 中，確定范疇、風(fēng)險(xiǎn)評(píng)估、開發(fā)風(fēng)險(xiǎn)處置計(jì)劃以及風(fēng)險(xiǎn)接受都是“計(jì)劃”階段中的一部分。在 ISMS 的實(shí)施階段中，按照風(fēng)險(xiǎn)處置計(jì)劃實(shí)施降低風(fēng)險(xiǎn)所需的活動(dòng)和控制措施。在 ISMS 的“檢查”階段，管理者根據(jù)事件和環(huán)境的變化， 確定是否需要修訂風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置。在“改進(jìn)”階段，執(zhí)行任何需要的活動(dòng)，包括信息安全風(fēng)險(xiǎn)管理過程的補(bǔ)充應(yīng)用。下表概述了與 ISMS 過程的四個(gè)階段相關(guān)的信息安全風(fēng)險(xiǎn)管理活動(dòng)：表 1：ISMS 和信息安全風(fēng)險(xiǎn)管理過程的對(duì)應(yīng)關(guān)系ISMS 過程信息安全風(fēng)險(xiǎn)管理過程計(jì)劃確定范疇風(fēng)險(xiǎn)評(píng)估開發(fā)風(fēng)險(xiǎn)處置計(jì)劃風(fēng)險(xiǎn)接受實(shí)施實(shí)施風(fēng)險(xiǎn)處置計(jì)劃?rùn)z查持續(xù)監(jiān)視和評(píng)

19、審風(fēng)險(xiǎn)改進(jìn)維持和改進(jìn)風(fēng)險(xiǎn)管理過程確定范疇總則輸入：與確定信息安全風(fēng)險(xiǎn)管理范疇相關(guān)的所有關(guān)于組織的信息。活動(dòng)：應(yīng)該確定信息安全風(fēng)險(xiǎn)管理的范疇，這涉及信息安全風(fēng)險(xiǎn)管理所必須的基本準(zhǔn)則的設(shè)定（條款 7.2），范圍和邊界的界定（條款 7.3），適合于信息安全管理運(yùn)行的組織架構(gòu)的確定（條款7.4）。實(shí)施指南：確定信息安全風(fēng)險(xiǎn)評(píng)估的宗旨是必要的，因?yàn)檫@將影響整個(gè)風(fēng)險(xiǎn)評(píng)估過程，特別是對(duì)確定風(fēng)險(xiǎn)評(píng)估范疇的影響。信息安全風(fēng)險(xiǎn)評(píng)估的宗旨可能是：支持 ISMS符合法律和盡職的證據(jù)準(zhǔn)備業(yè)務(wù)連續(xù)性計(jì)劃準(zhǔn)備事件響應(yīng)計(jì)劃描述某個(gè)產(chǎn)品、服務(wù)或機(jī)制對(duì)信息安全的要求確定支持 ISMS 所需要的范疇要素的實(shí)施指南，將在條款 7.2

20、、7.3 和 7.4 中作進(jìn)一步討論。注：ISO/IEC 27001 并不使用術(shù)語“范疇”。但是，條款 7 的所有內(nèi)容都與 ISO/IEC 27001 中“定義 ISMS 的范圍和邊界”（ 4.2.1a）、“定義 ISMS 方針”（4.2.1b）、“定義風(fēng)險(xiǎn)評(píng)估方法”（4.2.1c）的要求相關(guān)。輸出：對(duì)信息安全管理過程的基本準(zhǔn)則、范圍和邊界、以及組織架構(gòu)的說明。基本準(zhǔn)則根據(jù)風(fēng)險(xiǎn)管理的范圍和目標(biāo)的不同，可能采用不同的方法。對(duì)于每一循環(huán)，所采用的方法也可能不同。一個(gè)合適的風(fēng)險(xiǎn)管理方法應(yīng)該選擇或開發(fā)基本準(zhǔn)則，如風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則、影響準(zhǔn)則、風(fēng)險(xiǎn)接受準(zhǔn)則。另外，組織還應(yīng)該評(píng)估是否具有進(jìn)行以下活動(dòng)所需的必要資

21、源：進(jìn)行風(fēng)險(xiǎn)評(píng)附和確定風(fēng)險(xiǎn)處置計(jì)劃定義和實(shí)施方針和程序，包括實(shí)施已選擇的控制措施監(jiān)視控制措施監(jiān)視信息安全風(fēng)險(xiǎn)管理過程注：也可參見 ISO/IEC 27001（條款 5.2.1）中有關(guān)實(shí)施和運(yùn)行 ISMS 所需資源的提供。風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則組織應(yīng)該在考慮以下內(nèi)容的基礎(chǔ)上開發(fā)評(píng)價(jià)組織信息安全風(fēng)險(xiǎn)的風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則：業(yè)務(wù)信息過程的戰(zhàn)略價(jià)值相關(guān)信息資產(chǎn)的危急程度法律法規(guī)的要求和合同的義務(wù)運(yùn)營和業(yè)務(wù)的可用性、保密性、完整性的重要程度利益相關(guān)方的期望和認(rèn)知，以及對(duì)信譽(yù)和名聲的負(fù)面影響另外，風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則也可能被用于定義風(fēng)險(xiǎn)處置的優(yōu)先級(jí)。影響準(zhǔn)則應(yīng)該在考慮以下內(nèi)容的基礎(chǔ)上開發(fā)影響準(zhǔn)則，并以信息安全事態(tài)造成的對(duì)組織損害程

22、度或成本的方式加以說明：受影響資產(chǎn)的分類級(jí)別信息安全的違背（如保密性、完整性和可用性的喪失）運(yùn)行的受損（內(nèi)部或第三方的）損失的業(yè)務(wù)或財(cái)務(wù)價(jià)值對(duì)計(jì)劃和最后期限的破壞聲譽(yù)的損失對(duì)法律法規(guī)或合同要求的違背注：也可參見 ISO/IEC 27001 （條款 4.2.1d4）關(guān)于喪失保密性、完整性和可用性的影響準(zhǔn)則的識(shí)別。風(fēng)險(xiǎn)接受準(zhǔn)則應(yīng)該開發(fā)和闡述風(fēng)險(xiǎn)接受準(zhǔn)則。風(fēng)險(xiǎn)接受準(zhǔn)則的常常依賴于組織的方針、目的、目標(biāo)以及利益相關(guān)方的利益。組織應(yīng)該定義自身的風(fēng)險(xiǎn)接受級(jí)別的尺度。在開發(fā)風(fēng)險(xiǎn)可接受準(zhǔn)則時(shí)，應(yīng)該考慮以下方面：風(fēng)險(xiǎn)接受準(zhǔn)則可以包括帶有風(fēng)險(xiǎn)期望目標(biāo)級(jí)別的多道門檻，但在確定的情形下，提交給高層管理者接受的風(fēng)險(xiǎn)可能

23、超出該級(jí)別風(fēng)險(xiǎn)可接受準(zhǔn)則可以用估算收益（或業(yè)務(wù)收益）與估算風(fēng)險(xiǎn)的比值來描述對(duì)不同類型的風(fēng)險(xiǎn)可以采用不同的風(fēng)險(xiǎn)接受準(zhǔn)則，例如，導(dǎo)致對(duì)法律法規(guī)不符合的風(fēng)險(xiǎn)可能是不可接受的，但可能允許接受導(dǎo)致違背合同要求的高風(fēng)險(xiǎn)風(fēng)險(xiǎn)接受準(zhǔn)則可以包括下一步的補(bǔ)充處置要求，例如，如果認(rèn)可或承諾在確定的時(shí)間內(nèi)將采取行動(dòng)以將風(fēng)險(xiǎn)降到可接受級(jí)別，則風(fēng)險(xiǎn)可以被接受風(fēng)險(xiǎn)接受準(zhǔn)則可能因預(yù)計(jì)風(fēng)險(xiǎn)將多長(zhǎng)時(shí)間存在而不同，例如風(fēng)險(xiǎn)可能與一個(gè)臨時(shí)或短期活動(dòng)相關(guān)。設(shè)定風(fēng)險(xiǎn)接受準(zhǔn)則時(shí)，應(yīng)該考慮：業(yè)務(wù)準(zhǔn)則法律法規(guī)方面運(yùn)營技術(shù)財(cái)務(wù)社會(huì)和人為因素注：風(fēng)險(xiǎn)接受準(zhǔn)則與 ISO/IEC 27001 中條款 4.2.1c)2)所描述的“接受風(fēng)險(xiǎn)的準(zhǔn)則，識(shí)別可

24、接受的風(fēng)險(xiǎn)級(jí)別”相對(duì)應(yīng)。附錄 A 中將提供更多的信息。范圍和邊界組織應(yīng)該定義信息安全風(fēng)險(xiǎn)管理的范圍和邊界。需要定義信息安全風(fēng)險(xiǎn)管理過程的范圍，以保證在風(fēng)險(xiǎn)評(píng)估過程中考慮到所有相關(guān)資產(chǎn)。另外， 需要定義邊界（參見 ISO/IEC 27001 的條款 4.2.1a）以處理在邊界處呈現(xiàn)的風(fēng)險(xiǎn)。應(yīng)該收集組織的相關(guān)信息，以確定其運(yùn)營環(huán)境及其對(duì)信息安全風(fēng)險(xiǎn)管理過程的相關(guān)性。在定義范圍和邊界時(shí)，組織應(yīng)該考慮以下信息：組織的業(yè)務(wù)戰(zhàn)略目標(biāo)、策略和方針業(yè)務(wù)過程組織的職能和結(jié)構(gòu)適用于組織的法律法規(guī)和合同義務(wù)的要求組織的信息安全方針組織風(fēng)險(xiǎn)管理的整體方法信息資產(chǎn)組織的位置及其地理特性影響組織的約束條件利益相關(guān)方的期望

25、社會(huì)文化環(huán)境界面（與環(huán)境的數(shù)據(jù)交換）另外，組織對(duì)任何排除在范圍之外的，都應(yīng)該提供正當(dāng)?shù)睦碛?。例如，風(fēng)險(xiǎn)管理范圍的可能是一個(gè) IT 應(yīng)用、IT 基礎(chǔ)設(shè)施、一個(gè)業(yè)務(wù)過程或組織的某個(gè)界定部分。注：信息安全風(fēng)險(xiǎn)管理的范圍和邊界與 ISO/IEC 27001 4.2.1a 所要求的 ISMS 的范圍和邊界相對(duì)應(yīng)。附錄 A 中提供進(jìn)一步的信息。信息安全的組織架構(gòu)應(yīng)該設(shè)置和維持信息安全風(fēng)險(xiǎn)管理過程的組織架構(gòu)和職責(zé)。下面是信息安全風(fēng)險(xiǎn)管理過程組織架構(gòu)的主要角色和職責(zé)：開發(fā)適合組織的信息安全風(fēng)險(xiǎn)管理過程識(shí)別和分析利益相關(guān)方定義組織內(nèi)、外部各方的角色和職責(zé)在組織和相關(guān)利益方之間建立必要的聯(lián)系，如組織高風(fēng)險(xiǎn)管理職能

26、的接口（如運(yùn)營風(fēng)險(xiǎn)管理），以及與其它項(xiàng)目或活動(dòng)之間的接口定義決策升級(jí)路徑說明需要保存的記錄組織架構(gòu)應(yīng)該得到組織的合適的管理者的批準(zhǔn)。注：ISO/IEC 27001 要求確定并提供建立、運(yùn)行、監(jiān)視、維持和改進(jìn) ISMS 所需要的資源（5.2.1a）?？梢哉J(rèn)為風(fēng)險(xiǎn)管理運(yùn)營的組織架構(gòu)是 ISO/IEC 27001 所要求的資源之一。信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估綜述注：風(fēng)險(xiǎn)評(píng)估活動(dòng)是指 ISO/IEC 27001 中的風(fēng)險(xiǎn)評(píng)估過程。輸入：已確定的信息安全管理過程的基本準(zhǔn)則、范圍和邊界、組織架構(gòu)?；顒?dòng)：應(yīng)該進(jìn)行識(shí)別風(fēng)險(xiǎn)，進(jìn)行定量或定性的描述，并依據(jù)風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則和與組織目標(biāo)的相關(guān)性進(jìn)行排序。實(shí)施指南：

27、風(fēng)險(xiǎn)是非期望事態(tài)的發(fā)生所帶來的后果與事態(tài)發(fā)生可能性的組合。風(fēng)險(xiǎn)的定量評(píng)估或定性描述使得管理者能夠按照他們感知的嚴(yán)重程度或其他已確定的準(zhǔn)則對(duì)風(fēng)險(xiǎn)進(jìn)行排序。風(fēng)險(xiǎn)評(píng)估由以下活動(dòng)組成：風(fēng)險(xiǎn)分析（條款 8.2），包括：風(fēng)險(xiǎn)識(shí)別 （條款 8.2.1）風(fēng)險(xiǎn)估算（條款 8.2.2）風(fēng)險(xiǎn)評(píng)價(jià)（條款 8.3）風(fēng)險(xiǎn)評(píng)估確定信息資產(chǎn)的價(jià)值、識(shí)別適用的威脅和（存在或可能存在的）脆弱點(diǎn)、識(shí)別現(xiàn)有控制措施及其對(duì)已識(shí)別風(fēng)險(xiǎn)的影響，確定潛在后果，對(duì)風(fēng)險(xiǎn)進(jìn)行最終的優(yōu)先級(jí)排序，并按照風(fēng)險(xiǎn)范疇中設(shè)定的風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則進(jìn)行排名。風(fēng)險(xiǎn)評(píng)估通常會(huì)進(jìn)行兩個(gè)（或多個(gè)）循環(huán)。首先進(jìn)行綱領(lǐng)性的風(fēng)險(xiǎn)評(píng)估以識(shí)別需要進(jìn)一步評(píng)估的潛在高風(fēng)險(xiǎn)。下一個(gè)循環(huán)可能對(duì)

28、最初循環(huán)中發(fā)現(xiàn)的潛在高風(fēng)險(xiǎn)進(jìn)行進(jìn)一步的深入考慮。如果風(fēng)險(xiǎn)評(píng)估的信息不充分，則需要進(jìn)行進(jìn)一步的詳細(xì)分析，這可能是針對(duì)整個(gè)范圍當(dāng)中的一部分，也可能采用不同的辦法。組織基于風(fēng)險(xiǎn)評(píng)估的目的和目標(biāo)選擇自己的風(fēng)險(xiǎn)評(píng)估方法?？梢詮母戒?E 中找到有關(guān)風(fēng)險(xiǎn)評(píng)估方法的討論信息。輸出：已評(píng)估的按照風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則進(jìn)行優(yōu)先排序的風(fēng)險(xiǎn)清單。風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)識(shí)別介紹風(fēng)險(xiǎn)識(shí)別的目的是確定可能發(fā)生什么將導(dǎo)致潛在的損失， 并且洞察可能發(fā)生的損失將怎樣發(fā)生、在哪里發(fā)生、為什么發(fā)生。在隨后條款 8.2.1 中所描述的步驟應(yīng)該為風(fēng)險(xiǎn)估算活動(dòng)收集數(shù)據(jù)。注：隨后條款中所描述的活動(dòng)可能因所采用的辦式不同，而按照不同的次序進(jìn)行。資產(chǎn)識(shí)別輸

29、入：將要進(jìn)行風(fēng)險(xiǎn)評(píng)估的范圍和邊界，由所有者、位置、功能等構(gòu)成的清單?；顒?dòng)：在已確定范圍內(nèi)的資產(chǎn)應(yīng)該得到識(shí)別（參考 ISO/IEC 27001 的條款 4.2.1d)1)）。實(shí)施指南：資產(chǎn)是對(duì)組織有價(jià)值的任何東西，并因此需要加以保護(hù)。識(shí)別資產(chǎn)時(shí)應(yīng)該銘記的是，一個(gè)信息系統(tǒng)不僅僅由硬件和軟件組成。資產(chǎn)識(shí)別應(yīng)該在適合的細(xì)節(jié)層面進(jìn)行，以為風(fēng)險(xiǎn)評(píng)估提供充分的信息。資產(chǎn)識(shí)別的細(xì)節(jié)層面將影響風(fēng)險(xiǎn)評(píng)估中所收集的信息總量。細(xì)節(jié)層面可以在后續(xù)的信息安全評(píng)估循環(huán)中優(yōu)化。應(yīng)該為每一資產(chǎn)識(shí)別資產(chǎn)所有者，以為資產(chǎn)安排職責(zé)和責(zé)任。資產(chǎn)所有者可能并不擁有資產(chǎn)的所有權(quán)，但承擔(dān)資產(chǎn)的產(chǎn)生、開發(fā)、維護(hù)、使用以及合適的安全保護(hù)的責(zé)任。

30、資產(chǎn)所有者通常是確定資產(chǎn)對(duì)組織價(jià)值的最合適人選 （參見 資產(chǎn)賦值）。審查邊界以確定組織已定義的、應(yīng)由信息安全風(fēng)險(xiǎn)管理過程管理的資產(chǎn)范圍。附錄 B 提供有關(guān)信息安全的資產(chǎn)識(shí)別和賦值的更多信息。輸出：將要進(jìn)行風(fēng)險(xiǎn)管理的資產(chǎn)清單，以及與資產(chǎn)相關(guān)的業(yè)務(wù)過程清單和相互關(guān)系。識(shí)別威脅輸入：從事件評(píng)審、資產(chǎn)所有者、使用者或其他來源，包括外部提供的威脅清單中，獲得關(guān)于威脅的信息。活動(dòng)：應(yīng)該識(shí)別威脅和威脅的來源（參考 ISO/IEC 27001 的條款 4.2.1d) 2)）。實(shí)施指南：威脅對(duì)如信息、過程、系統(tǒng)等資產(chǎn)構(gòu)成潛在損害，并由此給組織帶來損害。威脅可能是自然的或人為的， 可能是意外或故意的。意外的或故意

31、的威脅都應(yīng)該得到識(shí)別。威脅可能來自組織內(nèi)部和外部。應(yīng)該整體并按類型（如非授權(quán)行為、物理損壞、技術(shù)失效）識(shí)別威脅，從而已識(shí)別的通用類別中的單個(gè)威脅得到識(shí)別。這意味著沒有威脅被忽視，包括非預(yù)期，但所需要的工作量是有限的。有些威脅可能影響多個(gè)資產(chǎn)。在這種情形，因受影響的資產(chǎn)不同，威脅可能造成不同的影響?？梢詮馁Y產(chǎn)所有者或使用者、人力資源員工、設(shè)備管理者、信息安全專員、物理安全專家、法律部門以及包括法律機(jī)構(gòu)、氣象部門、保險(xiǎn)公司和政府機(jī)構(gòu)等獲得識(shí)別威脅和估算發(fā)生可能性所需的輸入。在處理威脅時(shí)，必須考慮環(huán)境和文化因素。當(dāng)前進(jìn)行的評(píng)估，應(yīng)該考慮從事件得到的內(nèi)部經(jīng)驗(yàn)和過去進(jìn)行的威脅評(píng)估。在適當(dāng)時(shí)，參考其他的威

32、脅清單（可能是針對(duì)某個(gè)組織或業(yè)務(wù)）以完善通用威脅清單?？梢詮男袠I(yè)機(jī)構(gòu)、政府部門、法律機(jī)構(gòu)和保險(xiǎn)公司獲得威脅清單和統(tǒng)計(jì)資料。在使用威脅清單或前期的威脅評(píng)估成果時(shí)，應(yīng)該注意到的一點(diǎn)是，相關(guān)威脅是持續(xù)變化的，特別當(dāng)業(yè)務(wù)環(huán)境或信息系統(tǒng)發(fā)生變化時(shí)。從附錄 C 中可以找到有關(guān)威脅類型的更多信息。輸出：帶有類型和來源的威脅識(shí)別清單。識(shí)別現(xiàn)有控制措施輸入：控制措施文檔，風(fēng)險(xiǎn)處置實(shí)施計(jì)劃活動(dòng)：應(yīng)該識(shí)別現(xiàn)有的和已計(jì)劃的控制措施。應(yīng)該識(shí)別現(xiàn)有控制措施，以避免不必要的工作和成本，如重復(fù)的控制措施。另外，在識(shí)別現(xiàn)有控制措施時(shí)，應(yīng)該進(jìn)行檢查以確?？刂拼胧┰谟行Чぷ?參考已有的 ISMS 審計(jì)報(bào)告可以減少這項(xiàng)工作所花費(fèi)的時(shí)

33、間。如果控制措施沒有按預(yù)期進(jìn)行工作，將會(huì)形成脆弱點(diǎn)。應(yīng)該關(guān)注已選擇的控制措施（或策略）的運(yùn)行失效，并因此需要補(bǔ)充控制措施以有效處理風(fēng)險(xiǎn)。按照 ISO/IEC 27001， 一個(gè) ISMS 由控制措施的有效性測(cè)量來支持。估算控制措施效果的一個(gè)方式是，看控制措施怎樣降低威脅發(fā)生的可能性、消除暴露的脆弱點(diǎn)或降低事件的影響。管理評(píng)審或?qū)徲?jì)報(bào)告也將提供有關(guān)現(xiàn)有控制措施有效性的信息。按照風(fēng)險(xiǎn)處置計(jì)劃將要實(shí)施的控制措施應(yīng)該視同已經(jīng)實(shí)施的控制措施?，F(xiàn)有或計(jì)劃的控制措施可能被識(shí)別為無效的、不充分的或不合理的。應(yīng)該檢查不充分或不合理的控制措施，以確定是否應(yīng)該取消、由其他更有效的控制措施替代或繼續(xù)保持（如，因?yàn)槌杀?/p>

34、因素）。以下活動(dòng)可能為識(shí)別現(xiàn)有或計(jì)劃的控制措施提供幫助：評(píng)審包含控制措施信息的文件（如，風(fēng)險(xiǎn)處置計(jì)劃）。如果信息安全管理過程得到了很好的文件化，應(yīng)該可以獲得所有的現(xiàn)有或計(jì)劃的控制措施及其現(xiàn)狀；與信息安全責(zé)任人（如信息安全官和信息系統(tǒng)安全官、大樓管理員和運(yùn)行管理員）和用戶聯(lián)系，以確認(rèn)對(duì)所考慮的信息過程或信息系統(tǒng)的哪些控制措施得到了真正的實(shí)施；對(duì)照應(yīng)該已實(shí)施的控制措施清單，對(duì)物理控制措施進(jìn)行現(xiàn)場(chǎng)評(píng)審，并檢查已實(shí)施的控制措施是否正確、有效工作；或評(píng)審內(nèi)部審核的結(jié)果輸出：所有現(xiàn)有或計(jì)劃的控制措施清單，控制措施的實(shí)施和使用狀況。識(shí)別脆弱點(diǎn)輸入：已知的威脅清單，資產(chǎn)清單和現(xiàn)有控制措施清單活動(dòng)：應(yīng)該識(shí)別可能

35、被威脅利用以對(duì)資產(chǎn)或組織造成損害的脆弱點(diǎn)?？梢詮囊韵骂I(lǐng)域識(shí)別脆弱點(diǎn)：組織架構(gòu)過程和程序管理慣例人員物理環(huán)境信息系統(tǒng)配置硬件、軟件或通訊設(shè)備對(duì)外部的依賴脆弱性的存在本身不會(huì)形成損害， 它需要被某個(gè)威脅所利用。如果脆弱性沒有對(duì)應(yīng)的威脅，則可以不需要實(shí)施控制措施，但應(yīng)該注意并監(jiān)視所發(fā)生的變化。應(yīng)該注意到控制措施實(shí)施的不合理、控制措施故障或控制措施的錯(cuò)誤使用本身也是一個(gè)脆弱點(diǎn)?？刂拼胧┮蚱溥\(yùn)行的環(huán)境，可能有效或無效。相反，一個(gè)威脅如果沒有對(duì)應(yīng)的脆弱點(diǎn)，也不會(huì)導(dǎo)致風(fēng)險(xiǎn)的發(fā)生。脆弱點(diǎn)可能與資產(chǎn)的使用方式、目的等屬性有關(guān)，而不論資產(chǎn)購買和構(gòu)建時(shí)的意圖。需要考慮不同來源的脆弱點(diǎn)，內(nèi)在的或外來的?？梢詮母戒?D

36、 中找到脆弱點(diǎn)的示例和脆弱性評(píng)估的方法。輸出：與資產(chǎn)、威脅和控制措施相關(guān)的脆弱點(diǎn)清單；待評(píng)審的與任何已識(shí)別的威脅不相關(guān)的脆弱點(diǎn)清單。后果的識(shí)別輸入：資產(chǎn)清單、業(yè)務(wù)過程清單、威脅和脆弱點(diǎn)清單，適當(dāng)時(shí)，包括相關(guān)資產(chǎn)及相互關(guān)系?；顒?dòng)：資產(chǎn)喪失保密性、完整性和可用性的后果應(yīng)該得到識(shí)別（參見 ISO/IEC 27001 條款 4.2.1d) 4)）。后果可能是有效性的喪失、不利的運(yùn)行環(huán)境、業(yè)務(wù)的喪失、名譽(yù)的損失和損害等。本階段的活動(dòng)識(shí)別由某個(gè)事件情景導(dǎo)致對(duì)組織的損害或后果。事件情景，是對(duì)在信息安全事件（參見 ISO/IEC 27002 條款 13）中威脅利用某個(gè)特定的脆弱點(diǎn)或一組脆弱點(diǎn)的描述。根據(jù)在確定

37、范疇活動(dòng)中所定義的影響準(zhǔn)則，確定事件情景的影響。事件情景可能影響一個(gè)、多個(gè)資產(chǎn)或單個(gè)資產(chǎn)的一部分。因此，可以按資產(chǎn)的財(cái)務(wù)成本和資產(chǎn)破壞或損壞后帶來的業(yè)務(wù)影響，給資產(chǎn)賦值。資產(chǎn)受到損害時(shí)，后果可能是臨時(shí)性的，也可能是長(zhǎng)期的。注：ISO/IEC 27001 中用“安全失效”描述事件情景的發(fā)生。組織應(yīng)該識(shí)別事件情景在以下方面（但不限于）的運(yùn)營后果：調(diào)查和修復(fù)時(shí)間（工作）時(shí)間的損失機(jī)會(huì)的喪失健康和人身安全修復(fù)損傷所需特殊技能的財(cái)務(wù)成本信譽(yù)和形象可以在 B.3 影響評(píng)估中找到有關(guān)技術(shù)脆弱性評(píng)估的具體信息。輸出：與資產(chǎn)和業(yè)務(wù)過程相關(guān)的事件情景清單。風(fēng)險(xiǎn)估算風(fēng)險(xiǎn)估算辦法風(fēng)險(xiǎn)分析根據(jù)資產(chǎn)的重要性、已知脆弱點(diǎn)的

38、范圍以及以前與組織相關(guān)的事件，而進(jìn)行到不同的具體深度。估算辦法根據(jù)條件，可以是定性的、定量的或者是兩者的組合。實(shí)際上，通常首先采用定性估算以獲得一般性的風(fēng)險(xiǎn)級(jí)別指示和發(fā)現(xiàn)重大風(fēng)險(xiǎn)。隨后可能需要對(duì)重大風(fēng)險(xiǎn)進(jìn)行更明確的或定量分析，因?yàn)橥ǔ６ㄐ苑治霰榷糠治鲆?jiǎn)單，而且花費(fèi)要少。分析的形式應(yīng)該與作為確定范疇的一部分而制定的風(fēng)險(xiǎn)估算準(zhǔn)則相一致。估算辦法更具體的內(nèi)容描述如下：定性估算：定性估算采用尺度分級(jí)屬性（如低、中、高）來描述潛在后果的嚴(yán)重性和潛在后果發(fā)生的可能性。定性估算的優(yōu)點(diǎn)是易于所有相關(guān)人員的理解，同時(shí)其弱點(diǎn)是尺度選擇對(duì)主觀判斷的依賴?？梢詫?duì)尺度進(jìn)行修訂或調(diào)整，以適應(yīng)當(dāng)時(shí)的情況，并為不同的風(fēng)險(xiǎn)

39、采用不同的描述。定性分析可以用于：作為最初的篩選活動(dòng)，以識(shí)別需要進(jìn)一步具體分析的風(fēng)險(xiǎn)當(dāng)定性分析對(duì)決策來說是合適時(shí)當(dāng)量化數(shù)據(jù)不足以進(jìn)行定量估算時(shí)定量分析應(yīng)該使用可用的真實(shí)的信息和數(shù)據(jù)。定量估算：定量估算通過不同來源的數(shù)據(jù)，使用數(shù)字化的尺度來描述后果和可能性（而不是定性評(píng)估中所使用的描述性尺度）。分析的質(zhì)量依賴于量化數(shù)字的準(zhǔn)確性和完整性，以及所使用模型的有效性。在很多情況下，定量估算使用歷史的事件數(shù)據(jù)，優(yōu)勢(shì)是其直接與信息安全目標(biāo)和組織所關(guān)心的問題相關(guān)。不足是缺乏新的風(fēng)險(xiǎn)或信息安全弱點(diǎn)的數(shù)據(jù)。當(dāng)無法獲得真實(shí)和可審計(jì)數(shù)據(jù)時(shí)，將顯示定量估算的不足，因?yàn)檫@將導(dǎo)致風(fēng)險(xiǎn)評(píng)估準(zhǔn)確性和價(jià)值的假象。后果和可能性的表

40、達(dá)方式，以及其組合形成的風(fēng)險(xiǎn)等級(jí)的表達(dá)方式，將隨著風(fēng)險(xiǎn)的類型和風(fēng)險(xiǎn)評(píng)估輸出的使用目的不同而變化。在進(jìn)行有效分析和溝通時(shí)，應(yīng)該考慮后果和可能性的不確定性和可變性。后果的評(píng)估輸入：已識(shí)別的相關(guān)事件情景，包括識(shí)別威脅、脆弱點(diǎn)、受影響的資產(chǎn)、對(duì)資產(chǎn)和業(yè)務(wù)過程的后果?；顒?dòng)：應(yīng)該在考慮違背信息安全，如喪失資產(chǎn)的保密性、完整性、可用性的基礎(chǔ)上，評(píng)估可能或?qū)嶋H的信息安全事件可能導(dǎo)致的對(duì)組織業(yè)務(wù)的影響（參考 ISO/IEC 27001 條款 4.2.1e) 1)）。實(shí)施指南：在識(shí)別所有資產(chǎn)并評(píng)審后，在評(píng)估后果的同時(shí)應(yīng)該給資產(chǎn)賦值。業(yè)務(wù)影響可以用定性或定量來表示，但任何采用貨幣賦值的辦法，一般可以為決策提供更多的

41、信息，從而有助于更有效的決策過程。資產(chǎn)的賦值從按資產(chǎn)對(duì)滿足業(yè)務(wù)目標(biāo)的重要程度對(duì)資產(chǎn)進(jìn)行分類開始。通過以下兩種措施來確定資產(chǎn)價(jià)值：資產(chǎn)的替代價(jià)值：恢復(fù)清理和替換信息所需的成本（如果可行），以及資產(chǎn)喪失或損壞的業(yè)務(wù)后果，如信息或其他信息資產(chǎn)的泄密、修改、不可用和/或破壞帶來的潛在業(yè)務(wù)負(fù)面影響和/或法律后果可以從業(yè)務(wù)影響分析來賦值。資產(chǎn)價(jià)值根據(jù)資產(chǎn)對(duì)滿足組織業(yè)務(wù)目標(biāo)的重要性，由業(yè)務(wù)后果來確定，通常比簡(jiǎn)單的替代成本高很多。對(duì)事件情景，資產(chǎn)價(jià)值是影響評(píng)估的關(guān)鍵因素，因?yàn)槭录赡苡绊懙讲恢灰粋€(gè)資產(chǎn)（如，關(guān)聯(lián)資產(chǎn)），或僅僅是資產(chǎn)的一部分。不同的威脅或脆弱點(diǎn)將對(duì)資產(chǎn)帶來不同的影響，如喪失保密性、完整性或可用性

42、。因此后果的評(píng)估與基于業(yè)務(wù)影響分析的資產(chǎn)價(jià)值相關(guān)。后果或業(yè)務(wù)影響可以由一個(gè)或一系列事態(tài)的輸出模型來確定，或由實(shí)驗(yàn)研究或歷史數(shù)據(jù)來推斷。后果可以用貨幣、技術(shù)或人身影響準(zhǔn)則，以及與組織相關(guān)的其它準(zhǔn)則來描述。在某些情形，對(duì)不同的時(shí)間、地點(diǎn)、分類或環(huán)境需要多個(gè)價(jià)值數(shù)值來描述后果。應(yīng)該用相同的方法測(cè)量威脅的可能性和脆弱點(diǎn)在時(shí)間和財(cái)務(wù)上的后果。需要保持定性和定量方法的一致性。附錄 B 提供有關(guān)資產(chǎn)賦值和影響評(píng)估的更多信息。輸出：用資產(chǎn)和影響準(zhǔn)則來表示事件情形評(píng)估后果的清單。評(píng)估事件可能性輸入：已識(shí)別的相關(guān)事件情景，包括識(shí)別的威脅、受影響的資產(chǎn)、暴露的脆弱點(diǎn)、對(duì)資產(chǎn)和業(yè)務(wù)過程的后果。此外，所有現(xiàn)有和計(jì)劃的控

43、制措施清單，以及控制措施的有效性、實(shí)施和使用狀態(tài)?；顒?dòng)：應(yīng)該對(duì)事件情景的可能性進(jìn)行評(píng)估（參考 ISO/IEC 27001, 條款 4.2.1e) 2)）。實(shí)施指南：在識(shí)別事件情景后，需要利用定性或定量評(píng)估技術(shù)對(duì)每一情景的可能性和產(chǎn)生的影響進(jìn)行評(píng)估。這應(yīng)該考慮威脅發(fā)生經(jīng)常性和脆弱點(diǎn)被利用的容易程度，并考慮以下內(nèi)容：威脅發(fā)生可能性的經(jīng)驗(yàn)值或可用的統(tǒng)計(jì)數(shù)據(jù)對(duì)于來自故意的威脅：隨時(shí)間的變化動(dòng)機(jī)和能力，資源對(duì)可能進(jìn)行攻擊者的可用性，以及資產(chǎn)對(duì)可能攻擊者的吸引力和脆弱點(diǎn)對(duì)來自意外的威脅：地理因素，如在化工廠或石油工廠的附件，極端天氣的可能性，可能導(dǎo)致人員過錯(cuò)或設(shè)備故障的因素脆弱點(diǎn)， 單個(gè)脆弱點(diǎn)以及脆弱點(diǎn)的

44、組合現(xiàn)有控制措施及其怎樣有效降低脆弱性比如，某個(gè)信息系統(tǒng)可能存在能夠被冒名用戶不當(dāng)使用的威脅所利用的脆弱點(diǎn)。因?yàn)槿狈τ脩舻尿?yàn)證，冒用用戶身份的脆弱性可能很高。另一方面，盡管缺乏用戶驗(yàn)證，但資源不正當(dāng)使用的可能性很低，因?yàn)椴徽?dāng)使用資源的方式很少。根據(jù)對(duì)精確性的要求，可能對(duì)資產(chǎn)進(jìn)行分類，也可能需要將資產(chǎn)分解到組件，并將事件情景與組件相關(guān)聯(lián)。例如，對(duì)跨區(qū)域的同一類型的資產(chǎn)，威脅的特性可能會(huì)有變化，或者現(xiàn)有控制措施的有效性可能不同。輸出：事件情景的可能性（定性的或定量的）風(fēng)險(xiǎn)級(jí)別的估算輸入：事件情景清單，及其對(duì)資產(chǎn)和業(yè)務(wù)過程的后果和可能性（定性的或定量的）?；顒?dòng)：應(yīng)對(duì)所有相關(guān)的事件情景進(jìn)行風(fēng)險(xiǎn)級(jí)別評(píng)

45、估（參考 ISO/IEC 27001 條款 4.2.1 e) 4)） 實(shí)施指南：風(fēng)險(xiǎn)估算：對(duì)風(fēng)險(xiǎn)的可能性和后果進(jìn)行賦值。賦值可以是定性的或定量的。風(fēng)險(xiǎn)評(píng)估是基于后果和可能性的評(píng)估。另外，可能考慮成本效益、相關(guān)利益方的疑慮，以及其他對(duì)風(fēng)險(xiǎn)評(píng)價(jià)適用的因素。風(fēng)險(xiǎn)估算是某個(gè)事件情景的可能性及其后果的組合。附錄 E 提供不同信息安全評(píng)價(jià)的方法和辦法的示例。輸出：分配有風(fēng)險(xiǎn)級(jí)別數(shù)值的風(fēng)險(xiǎn)清單。8.3. 風(fēng)險(xiǎn)評(píng)價(jià)輸入：分配有風(fēng)險(xiǎn)級(jí)別數(shù)值的風(fēng)險(xiǎn)清單和風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則?；顒?dòng)：應(yīng)該將風(fēng)險(xiǎn)級(jí)別與風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則和風(fēng)險(xiǎn)接受準(zhǔn)則進(jìn)行比較（參考 ISO/IEC 27001，條款 4.2.1e) 4)）。實(shí)施指南：在建立風(fēng)險(xiǎn)范疇時(shí)

46、已經(jīng)確定用于風(fēng)險(xiǎn)決策的風(fēng)險(xiǎn)評(píng)價(jià)和風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則的特性。在這一階段，已經(jīng)知悉已識(shí)別風(fēng)險(xiǎn)的更多具體信息，應(yīng)該對(duì)風(fēng)險(xiǎn)決策和范疇進(jìn)行回顧。為評(píng)價(jià)風(fēng)險(xiǎn)，組織應(yīng)該將已實(shí)施指南：風(fēng)險(xiǎn)處置有四個(gè)選項(xiàng)：風(fēng)險(xiǎn)降低（參見 9.2），風(fēng)險(xiǎn)保持 （參見 9.3），風(fēng)險(xiǎn)回避（參見 9.4）和風(fēng)險(xiǎn)轉(zhuǎn)移（參見 9.5）。風(fēng)險(xiǎn)評(píng)估結(jié)果令人滿意的評(píng)估風(fēng)險(xiǎn)處置殘余風(fēng)險(xiǎn)令人滿意的處置風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)回避風(fēng)險(xiǎn)保持風(fēng)險(xiǎn)降低注：ISO/IEC 27001 4.2.1f)2) 用術(shù)語“接受風(fēng)險(xiǎn)”代替“保持風(fēng)險(xiǎn)”。圖 2 表示在圖 1 所描述的信息安全風(fēng)險(xiǎn)管理過程中的風(fēng)險(xiǎn)處置活動(dòng)。風(fēng)險(xiǎn)處置選項(xiàng)圖 2：風(fēng)險(xiǎn)處置活動(dòng)應(yīng)該基于風(fēng)險(xiǎn)評(píng)估的結(jié)果、實(shí)施這些選項(xiàng)

47、的預(yù)計(jì)成本及預(yù)期收益來選擇風(fēng)險(xiǎn)處置選項(xiàng)。如果通過某一選項(xiàng)可以通過相對(duì)較低的花費(fèi)大幅度降低風(fēng)險(xiǎn)，則應(yīng)該實(shí)施該選項(xiàng)。如果下一步的改進(jìn)選項(xiàng)可能是不經(jīng)濟(jì)的，則需要判斷是否合理。一般而言，不論任何絕對(duì)準(zhǔn)則，應(yīng)該在切實(shí)可行的范圍內(nèi)降低風(fēng)險(xiǎn)的負(fù)面后果。管理者應(yīng)該考慮罕見但嚴(yán)重的風(fēng)險(xiǎn)。在這種情形下，可能需要實(shí)施控制措施，而不會(huì)嚴(yán)格按經(jīng)濟(jì)性進(jìn)行判斷（例如為應(yīng)對(duì)特定的高風(fēng)險(xiǎn)，而考慮業(yè)務(wù)連續(xù)性控制措施）。風(fēng)險(xiǎn)處置的四個(gè)選項(xiàng)并不互相排斥。有時(shí)，組織可以通過選項(xiàng)的組合充分獲益，如降低風(fēng)險(xiǎn)的可能性、降低風(fēng)險(xiǎn)的后果，并轉(zhuǎn)移或保持殘余風(fēng)險(xiǎn)。某些風(fēng)險(xiǎn)處置可能有效處理多個(gè)風(fēng)險(xiǎn)（如信息安全培訓(xùn)和意識(shí)教育）。風(fēng)險(xiǎn)處置計(jì)劃應(yīng)該清晰定義

48、所列出的單個(gè)需要實(shí)施的風(fēng)險(xiǎn)處置項(xiàng)的優(yōu)先級(jí)，以及實(shí)施的時(shí)間框架。可以用不同的技術(shù)來確定優(yōu)先級(jí)，包括風(fēng)險(xiǎn)級(jí)別和成本效益分析。平衡實(shí)施控制措施的成本和預(yù)算安排，是組織管理者的職責(zé)。識(shí)別現(xiàn)有控制措施，可以通過與成本（包括控制措施的維護(hù)）相比較的方式，確定現(xiàn)有控制措施確定是否超過當(dāng)前的要求。如果考慮取消多余或不必要的控制措施（特別是控制措施存在很高的維護(hù)成本時(shí)），應(yīng)該考慮信息安全和成本因素。由于控制措施相互影響，取消多余的控制措施可能降低現(xiàn)有的整體安全。另外，可能保留現(xiàn)有的多余或不必要的控制措施比取消這些控制措施的成本更低。風(fēng)險(xiǎn)處置選項(xiàng)，應(yīng)該考慮：受影響方對(duì)風(fēng)險(xiǎn)的感知是怎樣的與這些受影響方進(jìn)行溝通的最合

49、適方式范疇的確定（參見 7.2 風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則）提供了組織需要滿足的法律法規(guī)要求方面的相關(guān)信息。應(yīng)該實(shí)施限制組織符合性失效風(fēng)險(xiǎn)的發(fā)生可能性的處置選項(xiàng)。在風(fēng)險(xiǎn)處置中應(yīng)該考慮在范疇確定活動(dòng)中識(shí)別的所有限制 - 組織的、技術(shù)的、架構(gòu)等。風(fēng)險(xiǎn)處置計(jì)劃一旦被界定，則需要確定殘余風(fēng)險(xiǎn)?？紤]建議的風(fēng)險(xiǎn)處置的預(yù)期效果，進(jìn)行風(fēng)險(xiǎn)評(píng)估的更新或再次循環(huán)。如果殘余風(fēng)險(xiǎn)仍不滿足組織的風(fēng)險(xiǎn)接受準(zhǔn)則，在提交以進(jìn)行接受風(fēng)險(xiǎn)前，可能需要進(jìn)行一步的風(fēng)險(xiǎn)處置循環(huán)?？梢詮?ISO/IEC 27002 0.3 條款中獲得更多的信息。輸入：提交風(fēng)險(xiǎn)處置計(jì)劃和殘余風(fēng)險(xiǎn)給組織管理者以進(jìn)行風(fēng)險(xiǎn)接受決策。風(fēng)險(xiǎn)降低活動(dòng)：通過選擇控制措施，風(fēng)險(xiǎn)級(jí)別應(yīng)

50、該被降低，使可以進(jìn)行殘余風(fēng)險(xiǎn)的再評(píng)估，以便可以被接受。實(shí)施指南：應(yīng)該選擇適當(dāng)和合理的控制措施，以滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置中識(shí)別的要求?？刂拼胧┑倪x擇應(yīng)該考慮風(fēng)險(xiǎn)接受則以及法律、法規(guī)和合同義務(wù)的要求。還應(yīng)該考慮實(shí)施控制措施的成本和時(shí)間表， 以及技術(shù)、環(huán)境、文化等因素。合理選擇信息安全控制措施，常常會(huì)降低系統(tǒng)的整體擁有成本。一般而言，控制措施可以提供以下一個(gè)或多個(gè)方面的保護(hù)：糾正、消除、預(yù)防、將影響最小化、制止、檢測(cè)、恢復(fù)、監(jiān)視和意識(shí)。在選擇控制措施時(shí)，權(quán)衡控制措施的采購、實(shí)施、管理、運(yùn)行、監(jiān)視和維護(hù)的成本與被保護(hù)資產(chǎn)的價(jià)值。此外，在投資回報(bào)率中應(yīng)該考慮特定控制措施所帶來的風(fēng)險(xiǎn)的降低和潛在的開發(fā)新業(yè)

51、務(wù)的機(jī)會(huì)。另外，還應(yīng)該考慮定義、實(shí)施新的控制措施或修改現(xiàn)有控制措施所需的特定技能。ISO/IEC 27002 提供有關(guān)控制措施的具體信息。有很多可能影響控制措施選擇的約束條件。如性能要求、可管理性（運(yùn)行支持的要求）和兼容性問題，可能妨礙某些控制措施的使用或可能導(dǎo)致人為錯(cuò)誤及控制措施失靈，使得對(duì)安全的感知失靈、甚至導(dǎo)致風(fēng)險(xiǎn)比沒有控制措施時(shí)還要高（如要求使用強(qiáng)密碼，但缺乏合適的培訓(xùn)，導(dǎo)致用戶將密碼寫下來）。此外，可能的情形是控制措施對(duì)影績(jī)效的影響。管理者應(yīng)該嘗試識(shí)別在滿足績(jī)效要求的同時(shí)保證充分的信息安全的解決方案。該步驟的結(jié)果是，可能的控制措施清單以及措施的成本、收益和實(shí)施的優(yōu)先次序。在選擇和實(shí)施

52、控制措施時(shí)，應(yīng)該考慮多種約束條件。特別是以下約束：時(shí)間約束財(cái)務(wù)約束技術(shù)約束運(yùn)行約束文化約束道德約束環(huán)境約束法律約束易用性約束人員約束整合新建和現(xiàn)有控制措施的約束可以從附錄 F 中獲得更多有關(guān)降低風(fēng)險(xiǎn)的約束的信息。風(fēng)險(xiǎn)保持活動(dòng)：根據(jù)風(fēng)險(xiǎn)評(píng)估，決定不采取進(jìn)一步的活動(dòng)而保持風(fēng)險(xiǎn)。注：與 ISO/IEC 27001 4.2.1 f) 2)中 “在明顯滿足組織方針策略和接受風(fēng)險(xiǎn)的準(zhǔn)則的條件下，有意識(shí)的、可能的接受風(fēng)險(xiǎn)”所表達(dá)的意思相同。實(shí)施指南：如果風(fēng)險(xiǎn)級(jí)比滿足風(fēng)險(xiǎn)接受準(zhǔn)則，則不需要實(shí)施額外的控制措施，而風(fēng)險(xiǎn)可能被保持。風(fēng)險(xiǎn)回避活動(dòng)：應(yīng)該規(guī)避導(dǎo)致特定風(fēng)險(xiǎn)的活動(dòng)或條件。實(shí)施指南：如果認(rèn)為所識(shí)別的風(fēng)險(xiǎn)太高，

53、或?qū)嵤┢渌刂铺幹眠x項(xiàng)成本超過了收益，則可以做出完全回避風(fēng)險(xiǎn)的決策，取消計(jì)劃的或現(xiàn)有的活動(dòng)（或一系列活動(dòng)），或者改變運(yùn)行環(huán)境。如對(duì)于來自自然的風(fēng)險(xiǎn)，將信息處理設(shè)施物理的轉(zhuǎn)移到?jīng)]有風(fēng)險(xiǎn)或風(fēng)險(xiǎn)受控的位置，可能是最符合成本經(jīng)濟(jì)效益的選擇。風(fēng)險(xiǎn)轉(zhuǎn)移活動(dòng)：根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，對(duì)于特定風(fēng)險(xiǎn)最有效的管理，可能是將風(fēng)險(xiǎn)轉(zhuǎn)移給其他方。實(shí)施指南：風(fēng)險(xiǎn)轉(zhuǎn)移涉及與外部分擔(dān)風(fēng)險(xiǎn)的決策。風(fēng)險(xiǎn)轉(zhuǎn)移可能產(chǎn)生新的風(fēng)險(xiǎn)或改變現(xiàn)有的、已識(shí)別的風(fēng)險(xiǎn)。由此，可能需要額外的風(fēng)險(xiǎn)處置。風(fēng)險(xiǎn)轉(zhuǎn)移可以通過保險(xiǎn)公司來分擔(dān)后果，或?qū)⒈O(jiān)視信息系統(tǒng)并在攻擊形成已定義級(jí)別損害前立即采取行動(dòng)制止攻擊的職責(zé)外給合作伙伴。應(yīng)該指出的是，有可能轉(zhuǎn)移風(fēng)險(xiǎn)管理的責(zé)任

54、，但它通常不能夠轉(zhuǎn)移影響的法律責(zé)任。客戶通常認(rèn)為是由于組織的過失導(dǎo)致的負(fù)面影響。信息安全風(fēng)險(xiǎn)的接受輸入：將風(fēng)險(xiǎn)處置計(jì)劃和殘余風(fēng)險(xiǎn)的評(píng)估提交給組織的管理者以進(jìn)行接受風(fēng)險(xiǎn)的決策?；顒?dòng)：應(yīng)該正式記錄風(fēng)險(xiǎn)接受決策的出臺(tái)和相關(guān)的決策責(zé)任。（參考 ISO/IEC 27001 4.2.1h)）。實(shí)施指南：風(fēng)險(xiǎn)處置計(jì)劃應(yīng)該描述怎樣處置被評(píng)估的風(fēng)險(xiǎn)以滿足風(fēng)險(xiǎn)接受準(zhǔn)則 （參見條款 7.2 風(fēng)險(xiǎn)接受準(zhǔn)則）。承擔(dān)責(zé)任的管理者對(duì)被提議的風(fēng)險(xiǎn)處置計(jì)劃和隨之而來的殘余風(fēng)險(xiǎn)的評(píng)審和批準(zhǔn)，并記錄與批準(zhǔn)相關(guān)的任何先決條件，是很重要的。風(fēng)險(xiǎn)接受準(zhǔn)則可能會(huì)很復(fù)雜，而不僅是是判斷殘余風(fēng)險(xiǎn)在門檻之上還是之下。在某些情形，殘余風(fēng)險(xiǎn)的級(jí)別可

55、能不滿足風(fēng)險(xiǎn)接受準(zhǔn)則，因?yàn)槟壳斑m用的準(zhǔn)則，沒有考慮到當(dāng)前的情形。例如，可以認(rèn)為有必要接受風(fēng)險(xiǎn)，因?yàn)榘殡S風(fēng)險(xiǎn)的收益可能是非常有吸引力的，或降低風(fēng)險(xiǎn)的成本太高。這些情形表明風(fēng)險(xiǎn)接受準(zhǔn)則可能是不合適的，如果可能應(yīng)該進(jìn)行修訂。然而， 不太可能總能及時(shí)的修訂風(fēng)險(xiǎn)接受準(zhǔn)則。在這些情形，決策者可能必須接受不滿足正常風(fēng)險(xiǎn)接受準(zhǔn)則的風(fēng)險(xiǎn)。 如果必須如此，決策者應(yīng)該明確說明風(fēng)險(xiǎn)，包括跳過正常風(fēng)險(xiǎn)接受準(zhǔn)則的決策理由。輸出：未能滿足正常風(fēng)險(xiǎn)接受準(zhǔn)則的，但被接受的風(fēng)險(xiǎn)清單，并附帶接受的理由。信息安全風(fēng)險(xiǎn)的溝通輸入：從風(fēng)險(xiǎn)管理活動(dòng)中獲得的所有風(fēng)險(xiǎn)信息（參見圖 1）。活動(dòng)：應(yīng)該在決策者和其他利益相關(guān)方之間進(jìn)行交換和/或共享

56、有關(guān)風(fēng)險(xiǎn)的信息。實(shí)施指南：風(fēng)險(xiǎn)溝通是通過在決策者或其他相關(guān)利益方之間交換和/或共享風(fēng)險(xiǎn)信息以達(dá)成協(xié)議的活動(dòng)。 這些信息包括但不限于，風(fēng)險(xiǎn)的存在、性質(zhì)、形式、可能性、嚴(yán)重性、處置和可接受性。利益相關(guān)方之間有效溝通是重要的，因?yàn)檫@將對(duì)必須作出的決策有很大的影響。溝通將確保實(shí)施風(fēng)險(xiǎn)管理的責(zé)任人以及重大利益相關(guān)方理解決策出臺(tái)的基礎(chǔ)和為什么需要特定的活動(dòng)。溝通應(yīng)是雙向的。因風(fēng)險(xiǎn)或討論議題相關(guān)的假設(shè)、概念、需求、問題以及利益相關(guān)方關(guān)注點(diǎn)的不同，對(duì)風(fēng)險(xiǎn)的認(rèn)知可能會(huì)不同。利益相關(guān)方可能會(huì)基于他們對(duì)風(fēng)險(xiǎn)的理解來判斷風(fēng)險(xiǎn)的可接受性。確保能夠識(shí)別利益相關(guān)方的風(fēng)險(xiǎn)認(rèn)知以及他們對(duì)收益的認(rèn)知，并形成文件，以及深層的原因得

57、到理解和處理，是非常重要的。應(yīng)該進(jìn)行風(fēng)險(xiǎn)溝通以滿足：為組織的風(fēng)險(xiǎn)管理成果提供信心收集風(fēng)險(xiǎn)信息分享風(fēng)險(xiǎn)評(píng)估的結(jié)果和展示風(fēng)險(xiǎn)處置計(jì)劃為了避免或減少由于決策者和利益相關(guān)方之間缺乏相互理解，而導(dǎo)致的違背信息安全事項(xiàng)的發(fā)生和后果為決策提供支持獲得新的信息安全知識(shí)與其它各方進(jìn)行協(xié)調(diào)，并計(jì)劃應(yīng)對(duì)措施以降低任何事件的可能性為了讓決策者和利益相關(guān)方意識(shí)到關(guān)于風(fēng)險(xiǎn)的責(zé)任提高意識(shí)組織應(yīng)該為正常的運(yùn)行和緊急情形制定風(fēng)險(xiǎn)溝通計(jì)劃。因此， 風(fēng)險(xiǎn)溝通活動(dòng)應(yīng)該持續(xù)進(jìn)行?？梢酝ㄟ^成立討論風(fēng)險(xiǎn)、風(fēng)險(xiǎn)優(yōu)先次序、合適的處置方式和接受可能性的委員會(huì)來達(dá)到主要決策者和利益相關(guān)方之間的協(xié)調(diào)。重要的是要配合適當(dāng)?shù)墓碴P(guān)系或組織內(nèi)部的溝通部門

58、，協(xié)調(diào)所有有關(guān)的風(fēng)險(xiǎn)溝通的任務(wù)。這對(duì)危機(jī)時(shí)的溝通活動(dòng)是至關(guān)重要的，例如，應(yīng)對(duì)特定的事件。輸出：對(duì)組織風(fēng)險(xiǎn)管理過程和結(jié)果的持續(xù)的理解。信息安全監(jiān)視和評(píng)審監(jiān)視和評(píng)審風(fēng)險(xiǎn)因子輸入：從風(fēng)險(xiǎn)管理活動(dòng)中獲得的所有風(fēng)險(xiǎn)信息（參見圖 1）。活動(dòng)：應(yīng)該監(jiān)視和評(píng)審風(fēng)險(xiǎn)和風(fēng)險(xiǎn)要素（如資產(chǎn)的價(jià)值、影響、威脅、漏洞、發(fā)生的可能性）， 以及在早期識(shí)別的組織范疇的任何變化，并維護(hù)風(fēng)險(xiǎn)的完整景象。事實(shí)指南：風(fēng)險(xiǎn)不是靜態(tài)的。威脅、弱點(diǎn)、可能性或后果可能發(fā)生沒有任何跡象的突變。因此必須持續(xù)進(jìn)行監(jiān)視以發(fā)現(xiàn)這些變化。也可以通過外部服務(wù)提供的有關(guān)新的威脅或脆弱點(diǎn)，來獲得對(duì)監(jiān)視活動(dòng)的支持。組織應(yīng)該確保對(duì)以下方面的持續(xù)監(jiān)視：新的資產(chǎn)被包含

59、到風(fēng)險(xiǎn)管理范圍內(nèi)資產(chǎn)價(jià)值的必要變更， 如因業(yè)務(wù)要求的變化未被評(píng)估的、能夠在組織內(nèi)部和外部發(fā)生作用的新的威脅新的或增加的脆弱點(diǎn)，以及允許威脅利用這些新的或變化的脆弱點(diǎn)的可能性確定被新的或再現(xiàn)的威脅所利用的已識(shí)別的脆弱點(diǎn)已評(píng)估威脅、脆弱點(diǎn)的影響或后果的增大和風(fēng)險(xiǎn)的聚集，形成令人無法接受的風(fēng)險(xiǎn)級(jí)別信息安全事件新的威脅、脆弱點(diǎn)以及可能性或后果的變化，可能增大以前被評(píng)估為低風(fēng)險(xiǎn)的風(fēng)險(xiǎn)。對(duì)低風(fēng)險(xiǎn)或已接受風(fēng)險(xiǎn)的評(píng)審應(yīng)該考慮針對(duì)每一風(fēng)險(xiǎn)單獨(dú)進(jìn)行，并對(duì)這類風(fēng)險(xiǎn)作為一個(gè)整體進(jìn)行考慮，以評(píng)估潛在的累積風(fēng)險(xiǎn)。如果風(fēng)險(xiǎn)沒有降到低風(fēng)險(xiǎn)或可接受風(fēng)險(xiǎn)級(jí)別，則應(yīng)該利用條款 9 中所考慮的一個(gè)或多個(gè)選項(xiàng)進(jìn)行處置。影響威脅發(fā)生的可

60、能性和后果的因素可能發(fā)生變化，并可能影響處置選項(xiàng)的適宜性或成本。應(yīng)該查找影響組織的主要變化的原因，以進(jìn)行更具體的評(píng)審。因此，風(fēng)險(xiǎn)監(jiān)視活動(dòng)應(yīng)該定期重復(fù)進(jìn)行， 并周期性評(píng)審風(fēng)險(xiǎn)處置的選項(xiàng)。風(fēng)險(xiǎn)監(jiān)視活動(dòng)的輸出可能輸入到其它風(fēng)險(xiǎn)評(píng)審活動(dòng)中。（按照 ISO/IEC 27001，條款 4.2.3）當(dāng)發(fā)生重大變化時(shí)，組織應(yīng)該定期評(píng)審所有風(fēng)險(xiǎn)。輸入：不斷調(diào)整的風(fēng)險(xiǎn)管理，以與組織的業(yè)務(wù)目標(biāo)和風(fēng)險(xiǎn)接受準(zhǔn)則相一致。風(fēng)險(xiǎn)管理監(jiān)視、評(píng)審和改進(jìn)輸入：從風(fēng)險(xiǎn)管理活動(dòng)中獲得的所有風(fēng)險(xiǎn)信息（參見圖 1）活動(dòng)：應(yīng)該根據(jù)需要和適宜性，持續(xù)對(duì)信息安全風(fēng)險(xiǎn)管理過程進(jìn)行監(jiān)視、評(píng)審和改進(jìn)。實(shí)施指南：為確保范疇、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置的結(jié)果，以