ISO 27001 资讯安全管理系统 【解析】(十九)

二、 ISO 27005 架构
ISO 27005资讯安全风险管理架构如下图：

先说明建立全景的步骤：

在这个阶段我们利用第四章所分析的资讯，建立基本准则、范围范畴及组织对资讯安全风险管理的组织架构，以下分别就这三个部分说明：
(一) 基本准则
要发展一套良好的风险管理方法，组织应该选用或开发一些基本准则，如风险评估准则、冲击准则、风险接受准则。根据风险管理的范围和目标的不同，不同组织可能采用不同的方法跟准则，每一循环所采用的方法也可能不同，所以组织须确保下列资源可用，以进行相关准则选用或开发：
• 执行风险评估和确定风险处置计画
• 定义和实施方针和程序，包括实施已选择的控制措施
• 监视控制措施
• 监视资讯安全风险管理过程

1. 风险评估准则：
   组织应定义用於评估风险重要性的准则，而这些准则应反映组织的价值观、目标和资源，其中某些准则可能是藉由法律、监管要求以及组织其他要求产生。风险评估准则应与组织的管理政策一致，在任何管理过程开始时定义并不断进行审查、确保符合事实且可用，可以参考的因素如後：
   • 企业资讯处理对组织的策略价值
   • 重要资讯资产应纳入考量
   • 法律及规定的需求、合约履行的义务
   • 运作时的机密性、可用性与完整性
   • 经营者期待与认知、期望与声誉的负面评价预估
   
   上表仅为一个范例，组织可依照全景分析的结果订定相关的评估准则，此类准则应可明确区分每一个等级及解释每个等级所代表的意义，如此才能确保重复的资讯安全风险评监能产出一致的、有效的和可比较的结果。