二、 ISO 27005 架構
ISO 27005資訊安全風險管理架構如下圖:
先說明建立全景的步驟:
在這個階段我們利用第四章所分析的資訊,建立基本準則、範圍範疇及組織對資訊安全風險管理的組織架構,以下分別就這三個部分說明:
(一) 基本準則
要發展一套良好的風險管理方法,組織應該選用或開發一些基本準則,如風險評估準則、衝擊準則、風險接受準則。根據風險管理的範圍和目標的不同,不同組織可能採用不同的方法跟準則,每一循環所採用的方法也可能不同,所以組織須確保下列資源可用,以進行相關準則選用或開發:
• 執行風險評估和確定風險處置計畫
• 定義和實施方針和程序,包括實施已選擇的控制措施
• 監視控制措施
• 監視資訊安全風險管理過程