4.风险评估和处理( treatment)
注意,本标题中将treatment翻译为处理,在4.2中及其他地方一般翻译为“处置”, 与风险评估的术语保持了一致。
4.1评估安全风险。本节对于风险评估并没有给出具体方法,而仅仅作了整体的指导。组织可以按照GB/T 22080-2008/ISO/IEC 27001: 2005对风险评估的要求结合本节中的描述来选择合适的风险评估方法。具体如下(原文中没有分节和编号):
a)风险评估宜对照风险接受准则和组织相关目标,识别、量化并区分风险的优先次序。
b)风险评估的结果宜指导并确定适当的管理措施及其优先级,以管理信息安全风险并为防范这些风险实施选择的控制措施。
c)风险评估应使用一种能够产生可比较和可再现结果的系统化的方式。
注:这是对风险评估的整体要求,风险评估的结果是为了指导控制措施的选择,那么其结果必须体现风险的优先次序,即至少得分出个等级来。注意这里谈到的量化( quantify)风险,不是量化的风险评估方法,应该是区分风险大小而引进的量化。
d)评估风险和选择控制措施的过程可能需要执行多次,以覆盖组织的不同部门或各个信息系统。为使信息安全风险评估有效,它应有一个清晰定义的范围。如果合适,应包括与其他领域风险评估的关系。如果可行、实际和有帮助,风险评估的范围既可以是整个组织、组织的一部分、单个的信息系统、特定的系统部件,也可以是服务。
e)风险评估还宜定期进行,以应对安全要求和风险情形的变化,例如资产、威胁、 脆弱性、影响、风险评价,发生重大变化时也应进行风险评估。
注:这是对风险评估的范围和执行时间进行了指导,比较明确。
f)风险评估宜包括估计风险大小的系统方法(风险分析),将估计的风险与风险准则加以比较以确定风险严重性的过程(风险评价)。
注:对风险评估的过程进行指导,远没有GB/T 22080- 2008/IS()/IEC 27001: 2005中详细。 g)风险评估方法的例子在IS()/IEC TR 13335 -3中讨论。
注:本条款在GB/T 22080--2008/IS()/1EC 27001: 2005中也有,这是对选择方法的更实际的引导。