超级会员免费看
信息系统安全管理标准全解析
一、风险管理流程
ISO/IEC 27005:2008适用于各类组织,其风险管理流程包含以下活动:
1. 环境建立 :设定信息安全风险管理的基本标准,明确范围和边界,建立合适的组织来运作信息安全风险管理。
2. 风险评估 :识别、描述风险(定量或定性),并根据风险评估标准和目标对风险进行优先级排序。
3. 风险处理 :选择控制措施以降低、保留、避免或转移风险,并定义风险处理计划。
4. 风险接受 :决定接受风险,并记录那些不符合组织正常风险接受标准的已接受风险及理由(例如降低风险的成本过高)。
5. 风险沟通 :决策者与其他利益相关者之间就风险信息进行交流和共享。
6. 风险监控与审查 :监控风险及其因素(如资产价值、影响),并在组织环境发生变化时进行审查。
下面是风险管理流程的mermaid流程图:
graph LR
A[环境建立] --> B[风险评估]
B --> C[风险处理]
C --> D[风险接受]
D --> E[风险沟通]
E --> F[风险监控与审查]
F --> B
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
