ISO27001信息安全风险管理的含义

信息安全管理体系

您当前所在位置：首页 > 常见问题&知识园地 > 信息安全管理体系

发布时间： 2019-04-26 16:45:34

信息安全风险管理是识别、评价各种信息安全风险因素带来的损失风险，对风险进行控制，减轻风险可能带来的负面影响，将损失降到最低。它是一个长期的、循环的和再管理过程。

ISO27001定义信息安全风险管理为“指导和控制组织风险的协同活动，包括风险评估、风险应对、风险承受和风险沟通”。

NIST SP800-30 中定义信息安全风险管理是“对信息系统的风险识别、风险评估，并采取一定的措施使风险减少至可承受程度”。

Microsoft 安全风险管理指南定义是“确定可接受的风险、评估风险的当前程度、采取措施将风险降低到可接受水平以及维持风险程度的流程”。

Thomas Finne 定义为：“识别、评估和控制不确定性事件，并减少损失和提高安全投资收益。包括风险分析和风险评估”。

Mariana Gerber 定义为：“基于风险分析结果的风险计划、风险监控和风险控制”。

范红在《信息安全风险评估方法与应用》中，定义风险管理为；“以可接受的费用识别、控制、降低或消除可能影响信息系统安全风险的过程。通过风险评估来识别风险的大小，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平”。该定义充分考虑费用与风险之间的平衡，全面反映了风险管理的全过程。

返回上一级