ISO/IEC 27005：2018解讀及其三次版本演化

謝宗曉 許定航

1 ISO/IEC 27005主要版本

ISO/IEC 27005：2018 Information technology—Security techniques—Information security risk management（信息技術 安全技術 信息安全風險管理），目前最新版本為第3版，發布于2018年7月，之前分別發布過2008版及2011版。第一版（2008版）則是來自經典的ISO/IEC TR 13335-3：19981）和ISO/IEC TR 13335-4：20002）。ISO/IEC 27005的版本演化，具體如圖1所示。

2 ISO/IEC 27005在標準族中的重要性

由于信息安全最重要的任務是控制風險，因此風險管理在其中有舉足輕重的作用[1]，而ISO/IEC 27005 作為ISO/IEC 27000標準族中唯一討論信息安全風險管理方法論的標準，其重要性是不言而喻的。Edward Humphreys認為：ISO/IEC 27005 為組織提供了why， what 和 how根據ISO/IEC 27001管理信息安全風險，這次改版是網絡風險工具盒（cyber-risk toolbox）的重要事項3）。

作為部署信息安全管理體系（ISMS）的必需過程，在ISO/IEC 27000標準族中，ISO/IEC 27001和ISO/IEC 27002對其引用是自然而言的。例如，ISO/IEC 27002：2013的 0.2中指出：ISO/IEC 27005提供了信息安全風險管理指南，包括風險評估、風險處置、風險接受、風險溝通、風險監視和風險評審各方面的建議。此外，ISO/IEC 27034-1、ISO/IEC 27034-3、ISO/IEC 27033-1和ISO/IEC 27040等標準中都引用了ISO/IEC 27005來規范信息安全風險管理的過程。

3 ISO/IEC 27005：2018包含的內容

ISO/IEC 27005：2018包含12章、6個資料性附錄。第5章介紹了背景信息，第6章給出了信息安全風險管理過程的框架，第7章描述了環境4）建立，第8章和第9章分別描述了風險評估和風險應對，第10章描述了風險接受，第11章描述了風險溝通，第12章描述了風險監視與評審。附錄A用以支持建立環境，附錄B討論了資產識別與評價以及其影響評估，附錄C給出了典型的威脅示例，附錄D討論了脆弱性及評估方法，附錄E給出了風險評估示例，附錄F則給出了風險改變的約束條件。

在信息安全風險管理框架上，ISO/IEC 27005的2008版、2011版，直至2018版都直接沿用了ISO 310005）的框架，如圖2所示。

圖2 風險管理過程

注意在ISO 31000：2018中，“環境建立”描述為更為寬泛的“范圍、環境和準則”。

標準的第7～9章和11～12章圍繞圖2的框架展開討論，與章節的對應關系如圖2中的數字標識。

值得指出的是，準則（criteria）是在最開始就要確定的，這個邏輯在ISO/IEC 27001：2005中也被強調。在ISO/IEC 27005中稱為“基本準則”，其中包括了：風險管理方法、風險評價準則、影響準則和風險接受準則。這都是風險管理領域通用的，因為在7.2.3中，給了一個備注，“ISO 31000中用的詞匯是后果準則（consequence criteria），而不是影響準則（impact criteria）”。

第8章，信息安全風險評估的過程如表1所示。

在ISO/IEC 27005：2008中，有一個詞匯風險估算（risk estimation），在2011版中就已經刪除，這可能主要是由于相應的ISO Guide 73對術語定義發生了變化，在之前，風險估算結束之后，才是風險評價。具體區別，詳細請參考本文的參考文獻[2]和[3]。

第9章，風險應對選項基本沿用了ISO/IEC 27005：2011的描述，這與ISO/IEC 27005：2008有一定的區別，其中原因大約也是因為ISO Guide 73的變化。在ISO/IEC 27005：2008中，4個選項依次為：風險降低（reduction）、風險保留（retention）、風險避免（avoidance）和風險轉移（transfer），在2011版本和2018版本中，則描述為：風險改變（modification）、風險保留、風險避免和風險共享（sharing）。

由于信息安全風險接受的特殊性，單獨成第10章。此外，第11章和第12章，均為描述性章節，分別介紹了溝通與咨詢、監視與評審。

4 版本之間主要變化

整體而言，ISO/IEC 27005的2008版、2011版和2018版，在細節上雖然多有改變，但三者并無本質變化，尤其是風險評估和風險應對的框架。

（1）不再遵循或與PDCA方法論相映射。

ISO/IEC 27005的2008版本和2011版本都有風險評估過程與信息安全管理體系（ISMS）中PDCA（Plan—Do—Check—Act）過程的映射關系，在2018版中不再強調。這可能主要是因為ISO/IEC 27001：2013雖然本質上依然是PDCA，但是就描述而言，所有的管理體系標準都與ISO/IEC Directives， Part 1 Consolidated ISO Supplement—Procedures specific to ISO的附錄2：High level structure， identical core text， common terms and core definitions（高層結構、相同條款標題、相同文本、通用術語和核心定義）保持一致。

（2）刪除了與ISO/IEC 27001聯系過度緊密的描述。

在ISO/IEC 27005：2018中，ISO/IEC 27001從2011版中的規范性引用文件被移到參考文獻中，但是這并不意味著兩者的聯系度降低，在引言中，兩者依然可以配合應用，不同的是，可以使得ISO/IEC 27005更好地單獨應用。此類變化主要表現在：a）對于ISO/IEC 27001：2005的直接引用均被刪除;b）由于對ISO/IEC 27001直接引用被刪除，相關在該標準中定義的ISMS要求在加入引言中;c）ISO/IEC 27001：2005不再列入規范性引用;d）ISO/IEC 27001加入參考文獻。

5 小結

在ISO/IEC 27000標準族中，除了基礎標準ISO/IEC 27001和ISO/IEC 27002外，ISO/IEC 27005可能是其中應用最廣泛的標準了，因此，也導致了ISO/IEC 27005改版頻繁。在本文中，我們不但介紹了最新版的標準，也分析了其中不同版本的差異，目的是更好地理解標準所要表達的原意。

參考文獻

趙戰生，謝宗曉. 信息安全風險評估（第2版）[M]. 北京：中國標準出版社， 2016.

謝宗曉. 信息安全風險管理相關詞匯定義與解析[J]. 中國標準導報， 2016（04）：26-29.

謝宗曉，劉立科. 信息安全風險評估/管理相關國家標準介紹[J]. 中國標準導報，2016（05）：30-33.