ISO/IEC 27005：2018解读及其三次版本演化

谢宗晓 许定航

1 ISO/IEC 27005主要版本

ISO/IEC 27005：2018 Information technology—Security techniques—Information security risk management（信息技术 安全技术 信息安全风险管理），目前最新版本为第3版，发布于2018年7月，之前分别发布过2008版及2011版。第一版（2008版）则是来自经典的ISO/IEC TR 13335-3：19981）和ISO/IEC TR 13335-4：20002）。ISO/IEC 27005的版本演化，具体如图1所示。

2 ISO/IEC 27005在标准族中的重要性

由于信息安全最重要的任务是控制风险，因此风险管理在其中有举足轻重的作用[1]，而ISO/IEC 27005 作为ISO/IEC 27000标准族中唯一讨论信息安全风险管理方法论的标准，其重要性是不言而喻的。Edward Humphreys认为：ISO/IEC 27005 为组织提供了why， what 和 how根据ISO/IEC 27001管理信息安全风险，这次改版是网络风险工具盒（cyber-risk toolbox）的重要事项3）。

作为部署信息安全管理体系（ISMS）的必需过程，在ISO/IEC 27000标准族中，ISO/IEC 27001和ISO/IEC 27002对其引用是自然而言的。例如，ISO/IEC 27002：2013的 0.2中指出：ISO/IEC 27005提供了信息安全风险管理指南，包括风险评估、风险处置、风險接受、风险沟通、风险监视和风险评审各方面的建议。此外，ISO/IEC 27034-1、ISO/IEC 27034-3、ISO/IEC 27033-1和ISO/IEC 27040等标准中都引用了ISO/IEC 27005来规范信息安全风险管理的过程。

3 ISO/IEC 27005：2018包含的内容

ISO/IEC 27005：2018包含12章、6个资料性附录。第5章介绍了背景信息，第6章给出了信息安全风险管理过程的框架，第7章描述了环境4）建立，第8章和第9章分别描述了风险评估和风险应对，第10章描述了风险接受，第11章描述了风险沟通，第12章描述了风险监视与评审。附录A用以支持建立环境，附录B讨论了资产识别与评价以及其影响评估，附录C给出了典型的威胁示例，附录D讨论了脆弱性及评估方法，附录E给出了风险评估示例，附录F则给出了风险改变的约束条件。

在信息安全风险管理框架上，ISO/IEC 27005的2008版、2011版，直至2018版都直接沿用了ISO 310005）的框架，如图2所示。

图2 风险管理过程

注意在ISO 31000：2018中，“环境建立”描述为更为宽泛的“范围、环境和准则”。

标准的第7～9章和11～12章围绕图2的框架展开讨论，与章节的对应关系如图2中的数字标识。

值得指出的是，准则（criteria）是在最开始就要确定的，这个逻辑在ISO/IEC 27001：2005中也被强调。在ISO/IEC 27005中称为“基本准则”，其中包括了：风险管理方法、风险评价准则、影响准则和风险接受准则。这都是风险管理领域通用的，因为在7.2.3中，给了一个备注，“ISO 31000中用的词汇是后果准则（consequence criteria），而不是影响准则（impact criteria）”。

第8章，信息安全风险评估的过程如表1所示。

在ISO/IEC 27005：2008中，有一个词汇风险估算（risk estimation），在2011版中就已经删除，这可能主要是由于相应的ISO Guide 73对术语定义发生了变化，在之前，风险估算结束之后，才是风险评价。具体区别，详细请参考本文的参考文献[2]和[3]。

第9章，风险应对选项基本沿用了ISO/IEC 27005：2011的描述，这与ISO/IEC 27005：2008有一定的区别，其中原因大约也是因为ISO Guide 73的变化。在ISO/IEC 27005：2008中，4个选项依次为：风险降低（reduction）、风险保留（retention）、风险避免（avoidance）和风险转移（transfer），在2011版本和2018版本中，则描述为：风险改变（modification）、风险保留、风险避免和风险共享（sharing）。

由于信息安全风险接受的特殊性，单独成第10章。此外，第11章和第12章，均为描述性章节，分别介绍了沟通与咨询、监视与评审。

4 版本之间主要变化

整体而言，ISO/IEC 27005的2008版、2011版和2018版，在细节上虽然多有改变，但三者并无本质变化，尤其是风险评估和风险应对的框架。

（1）不再遵循或与PDCA方法论相映射。

ISO/IEC 27005的2008版本和2011版本都有风险评估过程与信息安全管理体系（ISMS）中PDCA（Plan—Do—Check—Act）过程的映射关系，在2018版中不再强调。这可能主要是因为ISO/IEC 27001：2013虽然本质上依然是PDCA，但是就描述而言，所有的管理体系标准都与ISO/IEC Directives， Part 1 Consolidated ISO Supplement—Procedures specific to ISO的附录2：High level structure， identical core text， common terms and core definitions（高层结构、相同条款标题、相同文本、通用术语和核心定义）保持一致。

（2）删除了与ISO/IEC 27001联系过度紧密的描述。

在ISO/IEC 27005：2018中，ISO/IEC 27001从2011版中的规范性引用文件被移到参考文献中，但是这并不意味着两者的联系度降低，在引言中，两者依然可以配合应用，不同的是，可以使得ISO/IEC 27005更好地单独应用。此类变化主要表现在：a）对于ISO/IEC 27001：2005的直接引用均被删除;b）由于对ISO/IEC 27001直接引用被删除，相关在该标准中定义的ISMS要求在加入引言中;c）ISO/IEC 27001：2005不再列入规范性引用;d）ISO/IEC 27001加入参考文献。

5 小结

在ISO/IEC 27000标准族中，除了基础标准ISO/IEC 27001和ISO/IEC 27002外，ISO/IEC 27005可能是其中应用最广泛的标准了，因此，也导致了ISO/IEC 27005改版频繁。在本文中，我们不但介绍了最新版的标准，也分析了其中不同版本的差异，目的是更好地理解标准所要表达的原意。

参考文献

赵战生，谢宗晓. 信息安全风险评估（第2版）[M]. 北京：中国标准出版社， 2016.

谢宗晓. 信息安全风险管理相关词汇定义与解析[J]. 中国标准导报， 2016（04）：26-29.

谢宗晓，刘立科. 信息安全风险评估/管理相关国家标准介绍[J]. 中国标准导报，2016（05）：30-33.