信息安全风险管理与实践
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

第2章 信息安全风险管理相关标准

标准是科学、技术和实践经验的总结,是人类社会有序、高效运转的基础。在信息安全领域、风险管理领域有许多标准。由于信息技术发展的快速性,这些标准也在不断完善和发展之中。本章主要介绍风险管理、信息安全风险管理、风险评估等方面的国际标准和国家标准。这些标准是从事风险管理的基础,也是进行风险管理的行为准则。本章首先介绍制定风险管理相关标准的组织机构,包括国际标准化组织、部分国家的标准化组织、中国的标准化组织;接着介绍国际标准化组织制定的风险管理标准体系的ISO 31000家族,重点介绍ISO 31000:2018主要内容及其与ISO 31000:2009的差异;之后介绍专门针对信息安全风险管理的国际标准ISO/IEC 27005《信息技术—安全技术—信息安全风险管理》(简称ISO/IEC 27005);最后介绍我国的信息安全风险评估规范GB/T 20984。