august 发表于 2011-7-8 15:06:00

ISO/IEC 27005:2008 信息安全技术风险管理 (中文版)

ISO/IEC 27005:2008 信息安全技术风险管理 (中文版)
终于把ISO/IEC 27005:2008 翻译完成了。ISO/IEC 27005:2008与ISO/IEC 27001和ISO/IEC 27002 不一样,不是从BS7799系列中的BS7799-3转换过来的,而是从ISO/IEC TR 13335-3和ISO/IEC TR 13335-4 而来 。
ISO/IEC 27005更多的是介绍了很多概念性的东西,而对实际操作的提供的信息非常有限。而BS7799-3如同其标准名称一样( Guidelines for information
security risk management),其指南性的东西比较多,对实际操作的指导性更强。
但ISO/IEC 27005确实提出了很多有新意的概念,如将资产分为基本资产(信息和业务过程)和支持性资产, 以及由资产对另一资产的依赖型而定义的依赖性价值等概念。
这两个概念的提出被ISO/IEC 27002 (ISO/IEC 17799)中按资产的属性分成相对割裂的信息、软件、硬件、服务、人员、无形资产,从某种意义上更为合理。在进行风险评估时,可以很好的考虑到资产之间的相互关系,以形成信息资产在风险评估中的系统性概念。
另,为使大家更好的理解翻译的内容,对一些术语的翻译作一些说明:
risk assessment 风险评估
risk analysis   风险分析
risk evaluation风险评价
risk estimation 风险估计 ----- 在ISO/IEC 27001 并没有这个术语,由于评估、分析、评价几个词都被用掉了,没办法只好翻译成估计,实际上是一个对风险赋值的过程。
context 范畴 ----- 如果翻译成上下文,感觉实在太别扭,就翻译成范畴了。
risk retention 风险保持 ---- 这个意思与27001种的风险接受 (risk acceptance)的意思一致,不过在27005 中, risk acceptance 主要用于风险接受的这样一个批准过程了。
scale 尺度 --- 没想到更好的词, 只好这么翻译了。
high level 纲领性的 ---- 如果翻译成高级、高层次的,可能与原文的意思有很大的差别。
approach 方法,method 办法,techniques 技术,way 方式 --- -没办法这几个词的意思实在差不多,只好这么翻译了。

東東 发表于 2020-11-25 17:26:42

:)

東東 发表于 2020-11-27 10:14:23

:)

東東 发表于 2020-11-27 10:14:32

:)
页: [1]
查看完整版本: ISO/IEC 27005:2008 信息安全技术风险管理 (中文版)