ISO/IEC27005(Information security risk management 信息风险管理),属于C类标准。该标准给出了信息风险管理的指南,其中所描述的遵循ISO/IEC27001中的通用概念
、模型和过程。
该标准介绍了一般的风险管理过程,并重要的阐述了风险评估的几个重要环节,包括风险评估、风险处理、风险接受等。在标准的附录中,给出了资产、影响、脆弱以及风险评
估的方法,并列出了常见的威胁和脆弱。后还给出了根据不同通信系统以及不同问题和威胁选择控制措施的方法。
目前该标准处于Final CD(草案)阶段。