400-009-6664

专注于IT服务的科技咨询公司

行业知识

您当前位置 > 主页 > 资讯中心 > 行业知识 > 详情

ISO27001信息安全风险管理的含义

     ISO27001信息安全风险管理是识别、评价各种信息安全风险因素带来的损失风险,对风险进行控制,减轻风险可能带来的负面影响,将损失降到最低。它是一个长期的、循环的和再管理过程。
    ISO27001(2005)定义信息安全风险管理为“指导和控制组织风险的协同活动,包括风险评估、风险应对、风险承受和风险沟通”。
    NIST SP800-30 中定义信息安全风险管理是“对信息系统的风险识别、风险评估,并采取一定的措施使风险减少至可承受程度”。
    Microsoft 安全风险管理指南定义是“确定可接受的风险、评估风险的当前程度、采取措施将风险降低到可接受水平以及维持风险程度的流程”。
    定义为:“识别、评估和控制不确定性事件,并减少损失和提高安全投资收益。包括风险分析和风险评估”。
    定义为:“基于风险分析结果的风险计划、风险监控和风险控制”。
    在《信息安全风险评估方法与应用》中,定义风险管理为;“以可接受的费用识别、控制、降低或消除可能影响信息系统安全风险的过程。通过风险评估来识别风险的大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平”。该定义充分考虑费用与风险之间的平衡,全面反映了风险管理的全过程。
    阿斯科科技主要从事CMMIITSS、ISO27001认证、ISO20000认证等IT体系咨询,信息安全服务资质咨询服务以及IT培训服务等.欢迎咨询:400-009-6664

阅读上一篇新闻:CCRC信息安全服务资质6大认证流程详细说明      阅读下一篇新闻:ITSS信息技术服务标准介绍

服务案例查看更多