ISO27001信息安全管理体系标准介绍之七
6.1.2 信息安全风险评估
组织应定义并应用信息安全风险评估过程,以:
a) 建立和维护信息安全风险准则,包括:
1) 风险接受准则;
2) 信息安全风险评估实施准则。
b) 确保重复的信息安全风险评估可产生一致的、有效的和可比较的结果;
c) 识别信息安全风险:
1) 应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险;
2)识别风险责任人;
d) 分析信息安全风险:
1)评估6.1.2 c) 1)中所识别的风险发生后,可能导致的潜在后果;
2) 评估6.1.2 c) 1)中所识别的风险实际发生的可能性;
3) 确定风险级别;
e) 评价信息安全风险:
1) 将风险分析结果与6.1.2 a)中建立的风险准则进行比较;
2) 排列已分析风险的优先顺序,以便于风险处置。
组织应保留信息安全风险评估过程的文件化信息。
