风险评估和处理( treatment)

4.风险评估和处理( treatment)

注意，本标题中将treatment翻译为处理，在4.2中及其他地方一般翻译为“处置”， 与风险评估的术语保持了一致。

4.1评估安全风险。本节对于风险评估并没有给出具体方法，而仅仅作了整体的指导。组织可以按照GB/T 22080-2008／ISO/IEC 27001: 2005对风险评估的要求结合本节中的描述来选择合适的风险评估方法。具体如下（原文中没有分节和编号）：

a)风险评估宜对照风险接受准则和组织相关目标，识别、量化并区分风险的优先次序。

b)风险评估的结果宜指导并确定适当的管理措施及其优先级，以管理信息安全风险并为防范这些风险实施选择的控制措施。

c)风险评估应使用一种能够产生可比较和可再现结果的系统化的方式。

注：这是对风险评估的整体要求，风险评估的结果是为了指导控制措施的选择，那么其结果必须体现风险的优先次序，即至少得分出个等级来。注意这里谈到的量化( quantify)风险，不是量化的风险评估方法，应该是区分风险大小而引进的量化。

d)评估风险和选择控制措施的过程可能需要执行多次，以覆盖组织的不同部门或各个信息系统。为使信息安全风险评估有效，它应有一个清晰定义的范围。如果合适，应包括与其他领域风险评估的关系。如果可行、实际和有帮助，风险评估的范围既可以是整个组织、组织的一部分、单个的信息系统、特定的系统部件，也可以是服务。

e)风险评估还宜定期进行，以应对安全要求和风险情形的变化，例如资产、威胁、 脆弱性、影响、风险评价，发生重大变化时也应进行风险评估。

注：这是对风险评估的范围和执行时间进行了指导，比较明确。

f)风险评估宜包括估计风险大小的系统方法（风险分析），将估计的风险与风险准则加以比较以确定风险严重性的过程（风险评价）。

注：对风险评估的过程进行指导，远没有GB/T 22080- 2008／IS()/IEC 27001: 2005中详细。 g)风险评估方法的例子在IS()/IEC TR 13335 -3中讨论。

注：本条款在GB/T 22080--2008／IS()/1EC 27001: 2005中也有，这是对选择方法的更实际的引导。