信息安全管理體系中的風(fēng)險管理

        2008 年， 我國正式發(fā)布國家標準GB/T22080-2008，完成信息安全管理體系國際標準2005 版的轉(zhuǎn)換。隨著標準版本的升級，標準本身也有所變化，如風(fēng)險識別過程的變化。信息安全管理體系從國際標準的2005 版，發(fā)展到2013版，又升級到現(xiàn)在2022 版，經(jīng)過了三次版本的變化。在2005版的GB/T 22080-2008標準中，4.2.1建立ISMS。從標準的規(guī)定可以看出，風(fēng)險評估的識別基于信息資產(chǎn)。因此，信息安全管理體系的風(fēng)險評估都基于信息資產(chǎn)開展，否則不符合標準的要求。在2013 版GB/T 22080-2016 標準中，6.1.2 信息安全風(fēng)險評估。2013 版標準中風(fēng)險的識別，已經(jīng)不再強調(diào)“資產(chǎn)”。2022 版ISO 27001：2022 標準，6.1.2 信息安全風(fēng)險評估。2022 版標準在2013 版標準的基礎(chǔ)上，同樣不再強調(diào)“資產(chǎn)”，體現(xiàn)了現(xiàn)代管理體系注重的是風(fēng)險管理的理念，核心思想是為組織業(yè)務(wù)服務(wù)。