Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27005:2022 — 信息安全风险管理
识别、分析、评价和处置信息安全风险的综合指南
ISO/IEC 27005:2022 提供了关于信息安全风险管理的全面指南,是组织实施 ISO/IEC 27001 风险管理要求的权威参考。该标准取代了 2018 版,与 ISO/IEC 27001:2022 全面接轨,纳入了更新的威胁态势、新的风险评估方法论以及关于风险沟通和协商的增强指南。该标准弥合了 ISO 31000 通用风险管理原则与特定信息安全上下文之间的差距,为安全专业人士提供了一种规范化的方法来识别、分析、评价、处置、监视和评审整个组织的信息安全风险。
ISO/IEC 27005:2022 是连接高层次风险管理概念(ISO 31000)与 ISO/IEC 27001 特定信息安全上下文的桥梁。它将通用的风险原则转化为可操作的信息安全实践,与包括勒索软件、供应链攻击和云原生漏洞在内的现代威胁态势保持一致。
1. 风险管理流程框架
该标准定义了一个结构化的风险管理流程,包含六个关键活动:环境建立、风险识别、风险分析、风险评价、风险处置以及风险监视和评审。这些活动在一个持续循环中运行,并始终得到与利益相关方的持续沟通和协商的支持。该框架设计为可扩展的——20 名员工的小型初创企业可以应用与跨国公司相同的基本流程,只是在正式程度和文档要求上有所不同。
| 活动 | 目的 | 关键输出 |
|---|---|---|
| 环境建立 | 定义范围、风险准则和方法论 | 风险管理政策、风险接受准则、范围文件 |
| 风险识别 | 识别资产、威胁、脆弱性和现有控制 | 资产清单、威胁目录、脆弱性列表、风险登记册 |
| 风险分析 | 确定风险场景的可 能性和影响 |
风险级别计算(定性、定量、半定量) |
| 风险评价 | 将风险级别与接受准则进行比较 | 风险优先级列表、处置决策 |
| 风险处置 | 选择并实施控制措施以改变风险 | 风险处置计划(RTP)、适用性声明(SOA) |
| 风险监视和评审 | 跟踪风险、检测变化、验证处置有效性 | 风险评审报告、事件趋势、控制有效性指标 |
ISO/IEC 27005:2022 强调了在流程早期建立风险准则的重要性。风险准则应反映组织的风险偏好(组织愿意接受多少风险)、法律法规义务和利益相关方期望。如果没有由最高管理层达成一致的明确定义的准则,风险评价将变得主观且在不同业务单元之间不一致。该标准建议至少每年评审一次风险准则,并在业务环境或监管环境发生重大变化时及时更新。
2. 风险评估方法论与实用应用
该标准并未规定单一的评估方法。相反,它描述了几种方法,并指导组织根据自身环境、成熟度和可用数据选择最合适的方法:
- 定性方法:使用描述性量表(如低/中/高,或 5×5 可能性-影响矩阵)。最适合历史数据有限或主要依赖专家判断的组织。定性评估可以相对快速地完成,并且易于非专业利益相关方理解。
- 定量方法:使用数值(如以美元计价的货币损失、概率百分比、预期年损失)。示例包括年预期损失(ALE)、针对复杂风险场景的蒙特卡洛模拟,以及信息风险因素分析(FAIR),后者提供了一种将风险分解为其组成因素的严格分类法。适用于具有强大历史数据收集和分析能力的成熟组织。
- 半定量方法:将定性量表与数值权重相结合,为定性标签分配数值并计算风险分数。实践中是最常见的方法,在严谨性和可用性之间取得平衡。例如,为可能性和影响描述符分配 1-5 的分数,然后相乘产生风险优先级数值。
对于刚开始风险管理之旅的大多数工程团队来说,在初始迭代中使用带有 5×5 风险矩阵的半定量方法效果良好。对可能性和影响使用定性标签(极低到极高),映射到数值分数(1-5),计算乘积作为风险级别。这种方法直观、可向非技术利益相关方传达、且可在评估周期中重复。随着组织成熟度的提高,可以针对关键风险场景过渡到更定量的方法。
3. ISO/IEC 27005:2022 的新内容——威胁情报与风险沟通
2022 版引入了对威胁情报整合的更强强调,反映了自 2018 版以来网络安全威胁态势的显著演变。鼓励组织利用来自信息共享与分析中心(ISAC)、计算机应急响应团队(CERT)和商业威胁情报提供商的外部威胁源作为风险识别和分析的输入。这与网络安全范式从被动防御向主动威胁狩猎和情报驱动风险管理的转变相一致。
组织常犯的错误是每年进行一次风险评估并将结果视为静态的人工制品。ISO/IEC 27005:2022 强调风险本质上是动态的——新的脆弱性每天都在披露,威胁行为者不断演变其战术、技术和程序(TTP),业务环境通过并购和数字化转型而不断变化。风险管理必须是一个持续的过程,包含持续监视和定期重新评估,而非一年一次的合规活动。
该标准还扩展了关于风险沟通和协商的指南,认识到有效的风险管理同样依赖于人为因素和技术控制。它强调风险信息必须在正确的时间以利益相关方能够理解和采取行动的形式传达给正确的受众。这包括向最高管理层以业务语言向上报告(关注潜在业务影响和建议的战略决策)、向部门负责人横向沟通以进行运营协调,以及向负责日常风险缓解责任的运营团队向下通报。该标准还涉及建立风险意识文化的重要性,使各级员工都能理解其在管理信息安全风险中的角色。
4. 常见问题解答
问:ISO/IEC 27005:2022 与 ISO 31000 的关系是什么?
答:ISO 31000 提供了适用于任何类型风险(财务、运营、战略等)的通用风险管理原则和框架。ISO/IEC 27005 将这些原则专门化到信息安全领域,增加了关于威胁识别、脆弱性评估、信息安全控制选择以及与信息安全相关的特定风险场景的详细指南。
答:ISO 31000 提供了适用于任何类型风险(财务、运营、战略等)的通用风险管理原则和框架。ISO/IEC 27005 将这些原则专门化到信息安全领域,增加了关于威胁识别、脆弱性评估、信息安全控制选择以及与信息安全相关的特定风险场景的详细指南。
问:我需要使用 ISO/IEC 27005 来满足 ISO/IEC 27001 的风险要求吗?
答:不需要。ISO/IEC 27001 并未强制要求特定的风险管理标准。然而,ISO/IEC 27005 是最紧密对齐的指南标准,在认证审核期间使用它展示了一种结构化且公认的风险管理方法。认证审核员熟悉其方法论,这可以简化审核过程。
答:不需要。ISO/IEC 27001 并未强制要求特定的风险管理标准。然而,ISO/IEC 27005 是最紧密对齐的指南标准,在认证审核期间使用它展示了一种结构化且公认的风险管理方法。认证审核员熟悉其方法论,这可以简化审核过程。
问:风险评估应该多久进行一次?
答:该标准未规定具体的日历频率,因为这取决于组织环境。然而,大多数行业中的常见做法是每年进行一次正式的风险评估,并在发生重大变化时补充临时评估——新系统部署、重大基础设施变更、法规或立法更新、并购活动,或重大安全事件发生后。
答:该标准未规定具体的日历频率,因为这取决于组织环境。然而,大多数行业中的常见做法是每年进行一次正式的风险评估,并在发生重大变化时补充临时评估——新系统部署、重大基础设施变更、法规或立法更新、并购活动,或重大安全事件发生后。
问:风险处置是否可以包括接受风险而不是减轻风险?
答:可以。风险接受(保留)是与风险修改(缓解)、风险规避和风险分担(通过保险或合同转移)并列的四种合法处置选项之一。然而,所有已接受的风险必须正式记录在案并附有理由说明,经适当级别的授权管理层明确批准,并进行持续监视以确保其随时间推移保持在组织定义的风险接受准则范围内。
答:可以。风险接受(保留)是与风险修改(缓解)、风险规避和风险分担(通过保险或合同转移)并列的四种合法处置选项之一。然而,所有已接受的风险必须正式记录在案并附有理由说明,经适当级别的授权管理层明确批准,并进行持续监视以确保其随时间推移保持在组织定义的风险接受准则范围内。
