ISO27001信息安全风险管理

ISO27001信息安全风险管理是关于实现和维护与安全相关的信息系统机密性、完整性和可用性的各个方面。理想的安全风险标准应该是一种集成、一致、可分析、实用、成本效益平衡的方法。从信息安全风险管理分类的介绍可以看出，除安全技术风险外，信息安全风险还涉及安全政策、标准、意识、战略等方面。比如ISO27001和NISTSP800-26安全自评指南(SecuritySelfasssmentGuide)比安全产品和系统更注重安全管理，是调整适合组织需求进行自评的好标准，已经广泛应用于各类组织、公共和私人部门、工商行业。但由于上述标准所涉及的安全方面缺乏定量的安全测量方法，不同的评估人员会因主观原因给出不同的风险水平，使结果缺乏可信度，不能直接使用。

ISO27001信息安全风险分类不仅要考虑风险发生的可能性和可能的后果，还要考虑各种风险之间的关系，在单一风险的基础上分析评估综合安全风险。从信息安全科学的角度来看，较上述安全风险管理标准的基础上，综合环境、人员、管理、技术、法律、经济等系统风险境风险、信息机密性/完整性风险、系统风险、通信运营风险、基础设施风险、业务连续性风险、第三方风险、风险评估风险、法律风险和风险决策风险。ISO27001信息安全风险管理是关于实现和维护与安全相关的信息系统机密性、完整性和可用性的各个方面。理想的安全风险标准应该是一种集成、一致、可分析、实用、成本效益平衡的方法。

从信息安全风险管理分类的介绍可以看出，除安全技术风险外，信息安全风险还涉及安全政策、标准、意识、战略等方面。比如ISO27001和NISTSP800-26安全自评指南(SecuritySelfasssmentGuide)比安全产品和系统更注重安全管理，是调整适合组织需求进行自评的好标准，已经广泛应用于各类组织、公共和私人部门、工商行业。但由于上述标准所涉及的安全方面缺乏定量的安全测量方法，不同的评估人员会因主观原因给出不同的风险水平，使结果缺乏可信度，不能直接使用。

ISO27001信息安全风险分类不仅要考虑风险发生的可能性和可能的后果，还要考虑各种风险之间的关系，在单一风险的基础上分析评估综合安全风险。从信息安全科学的角度来看，较上述安全风险管理标准的基础上，综合环境、人员、管理、技术、法律、经济等系统风险境风险、信息机密性/完整性风险、系统风险、通信运营风险、基础设施风险、业务连续性风险、第三方风险、风险评估风险、法律风险和风险决策风险。