二、 ISO 27005 架構
ISO 27005資訊安全風險管理架構如下圖：

先說明建立全景的步驟：

在這個階段我們利用第四章所分析的資訊，建立基本準則、範圍範疇及組織對資訊安全風險管理的組織架構，以下分別就這三個部分說明：
(一) 基本準則
要發展一套良好的風險管理方法，組織應該選用或開發一些基本準則，如風險評估準則、衝擊準則、風險接受準則。根據風險管理的範圍和目標的不同，不同組織可能採用不同的方法跟準則，每一循環所採用的方法也可能不同，所以組織須確保下列資源可用，以進行相關準則選用或開發：
• 執行風險評估和確定風險處置計畫
• 定義和實施方針和程序，包括實施已選擇的控制措施
• 監視控制措施
• 監視資訊安全風險管理過程

1. 風險評估準則：
   組織應定義用於評估風險重要性的準則，而這些準則應反映組織的價值觀、目標和資源，其中某些準則可能是藉由法律、監管要求以及組織其他要求產生。風險評估準則應與組織的管理政策一致，在任何管理過程開始時定義並不斷進行審查、確保符合事實且可用，可以參考的因素如後：
   • 企業資訊處理對組織的策略價值
   • 重要資訊資產應納入考量
   • 法律及規定的需求、合約履行的義務
   • 運作時的機密性、可用性與完整性
   • 經營者期待與認知、期望與聲譽的負面評價預估
   
   上表僅為一個範例，組織可依照全景分析的結果訂定相關的評估準則，此類準則應可明確區分每一個等級及解釋每個等級所代表的意義，如此才能確保重複的資訊安全風險評鑑能產出一致的、有效的和可比較的結果。