如何正确认知ISO/IEC 27001中的风险管理过程

ISO/IEC 27001中的风险管理过程，也可以称之为ISO/IEC 27001中的风险管理体系，也因此ISO/IEC 27001中的风险管理是一个系统化的过程，并且涉及ISO/IEC 27001的多个条款。

在ISO/IEC 27001中，与风险管理有关条款有4.1，4.2，6.1.1，6.1.2，6.1.3，8.2以及8.3。根据ISO/IEC 27003中的实施指南，我们可以知道，这些条款涉及的风险管理分为两大类，一类是按照6.1.1要求对4.1和4.2的输出进行风险识别和管控，二类是按照6.1.2，6.1.3，8.2以及8.3对信息资产的三个安全属性（保密性，完整性和可用性）进行的风险识别和风险处置。

在目前国内的实践中，大部分个人或组织，一般都只关注了第二类的风险管理，并且在实践过程中千遍一律地生搬硬套了ISO/IEC 27005提供的方法，结果导致即便是关注了，但是在实践中失去意义，沦为形式化了；第一类风险管理是几乎没有关注的。

第一类风险管理参考的标准是ISO 31000，第二类风险管理参考的标准ISO/IEC 27005。虽然官方明确了这两类风险管理的参考标准，但在实施过程中并没有强制完全按照ISO 31000和ISO/IEC 27005这两个标准来实施，本意可能仅仅是提供一个方向，思维和认知，在实践时需要根据组织实际情形，灵活应用标准，或创造更适合组织的风险管理方法，否则就会像现在几乎沦为形式化了，风险评估根本无法落地。

第一类风险管理是属于层次较高（比如战略层面）的风险管理，所以参考标准是ISO 31000，因为ISO 31000适用于各层次的风险管理。第二类风险管理是属于层次较低的风险管理（比如执行层面），主要涉及各个业务活动场景中的信息资产的风险管理，可以参考专门针对这类风险管理而制定的标准IEC 27005，也可以参考ISO 31000（因为ISO 31000适用于各层次的风险管理）。

第一类和第二类风险管理，并不是孤立的，他们是有关系的。第一风险管理为第二类风险管理指明了方向，特别是在第二类风险管理中的风险处置措施的选择，以及残余风险的接受必须要参考第一类风险管理的输出结果。

有关ISO/IEC 27001：2022中风险管理的详细讲解，大家可以关注这个直播课程：《ISO/IEC 27001: 2022风险管理过程 – 信息安全风险评估实践与技巧》

直播地址：https://video.27001.cn/study-13.html

直播时间：待定（确定了会更新直播时间）

本次课程完全不同于其他地方的信息安全风险评估培训课程：

首先，最明显的区别就是时间上将长达数小时，现在一般咨询提供的信息安全风险评估课程最多30分钟；

第二，本课程的目标是要在企业内部落地化，各部门都能参与其中，能提高各部门信息安全意识，而不是像现在多数为认证只追求形式化；

第三，本课程是经过多个信息安全风险评估项目的亲身指导和实践，亲身与数百个部门面对面指导和沟通而总结出来的课程，其中的很多技巧和方法都是首创，力求确保方法和输出能够在组织内能够落地，反复和沉淀，这也是与其他千遍一律套用模板的信息安全风险评估培训课程的最大的不同。