400-8388-163

ISO/IEC27001:2013 信息安全管理体系

当前位置: 首页 > 辅导项目  > 信息安全 > ISO/IEC27001:2013 信息安全管理体系

ISO27001信息安全风险管理的含义

2019/3/8 15:21:59 人评论

信息安全风险管理是识别、评价各种信息安全风险因素带来的损失风险,对风险进行控制,减轻风险可能带来的负面影响,将损失降到最低。它是一个长期的、循环的和再管理过程。

ISO27001(2005)定义信息安全风险管理为“指导和控制组织风险的协同活动,包括风险评估、风险应对、风险承受和风险沟通”。

NIST SP800-30 中定义信息安全风险管理是“对信息系统的风险识别、风险评估,并采取一定的措施使风险减少至可承受程度”;。

Microsoft 安全风险管理指南定义是“确定可接受的风险、评估风险的当前程度、采取措施将风险降低到可接受水平以及维持风险程度的流程”。

Thomas Finne 定义为:“识别、评估和控制不确定性事件,并减少损失和提高安全投资收益。包括风险分析和风险评估”。

Mariana Gerber 定义为:“基于风险分析结果的风险计划、风险监控和风险控制”。

范红在《信息安全风险评估方法与应用》中,定义风险管理为;“以可接受的费用识别、控制、降低或消除可能影响信息系统安全风险的过程。通过风险评估来识别风险的大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平”。该定义充分考虑费用与风险之间的平衡,全面反映了风险管理的全过程。

相关资讯

  • ISO27001信息安全管理体系标准的起源和发展

    当今社会是一个信息爆炸的时代,企业对信息的依赖越来越大,没有各种信息的支持,企业就难以维持长远的发展。可见,信息已经成为现代企业的一种重要资产,成为企业成功的关键所在。信息所具有的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合…

    2019/3/8 15:22:04
  • ISO27001信息安全管理体系标准的主要内容

    ISO27001标准第一部分是信息安全管理实施细则其中包含11个主题,定义了133个安全控制。11个主题分别是:①安全策略;②信息安全组织;③资产管理;④人力资源安全;⑤物理和环境安全;⑥通信和操作管理;⑦访问控制;⑧信息系统获取、开发和维护;⑨信息安全事件管理;⑩…

    2019/3/8 15:22:04
  • ISO27001信息安全管理体系之 信息的概念

    ISO27001信息安全管理体系之 信息的概念1928年, 哈特莱( L . V . R . Hartley) 在《贝尔系统技术杂志》( BSTJ ) 上发表了一篇题为“信息传输”的论文。在这篇论文中, 他把信息理解为选择通信符号的方式, 且用选择的自由度来计量这种信息的大小

    2019/3/8 15:22:04

共有条评论 网友评论

验证码: 看不清楚?