ISO 27005提供信息安全风险管理指南,补充ISO 27001的要求。
ISO/IEC 27005:2022提供与ISO 27001一致的信息安全风险管理指导。描述完整流程:ISMS背景下的风险识别、分析、评估和处理。
定义结构化流程,包括资产、威胁和漏洞识别、影响分析和风险级别确定。
提供四种选项:修改风险(控制)、保留(接受)、回避(消除活动)或分担(保险、第三方)。
将ISO 31000的一般原则应用于信息安全的特定领域。
非强制。ISO 27001要求风险评估但不规定特定方法论。ISO 27005是满足该要求的最一致和推荐的指南。
加强基于事件和风险场景的方法,与ISO 27001:2022及其新的93项控制附录A保持一致。
需要此领域的评估?