信息安全管理體系中的風險管理
更新時間:2023-11-09 06:01:54 點擊次數(shù):413 次
信息安全管理體系中的風險管理
2008 年�����, 我國正式發(fā)布國家標準GB/T22080-2008�����,完成信息安全管理體系國際標準2005 版的轉(zhuǎn)換。隨著標準版本的升級�����,標準本身也有所變化�����,如風險識別過程的變化�����。信息安全管理體系從國際標準的2005 版�����,發(fā)展到2013版�����,又升級到現(xiàn)在2022 版�����,經(jīng)過了三次版本的變化。在2005版的GB/T 22080-2008標準中�����,4.2.1建立ISMS�����。從標準的規(guī)定可以看出�����,風險評估的識別基于信息資產(chǎn)�����。因此�����,信息安全管理體系的風險評估都基于信息資產(chǎn)開展�����,否則不符合標準的要求�����。在2013 版GB/T 22080-2016 標準中�����,6.1.2 信息安全風險評估�����。2013 版標準中風險的識別�����,已經(jīng)不再強調(diào)“資產(chǎn)”�����。2022 版ISO 27001:2022 標準�����,6.1.2 信息安全風險評估�����。2022 版標準在2013 版標準的基礎上,同樣不再強調(diào)“資產(chǎn)”�����,體現(xiàn)了現(xiàn)代管理體系注重的是風險管理的理念�����,核心思想是為組織業(yè)務服務�����。
