在标准的ISO 27005中，上下文建立是一个重复的过程吗？

Question

我正在撰写我们的内部信息安全风险管理程序。这一程序应说明我们如何准确地进行风险识别、评估、治疗和监测。

我想遵循ISO 27005，但我被困在上下文建立部分。这是一个我必须在我的过程中定义的一次性过程，还是一个重复的任务，必须在每个风险评估过程开始时完成(考虑到在某些有限的范围(如web服务)进行的风险评估)？

如果你有一个，你能分享一个例子，你的程序，或至少部分匹配上下文建立部分？

Answer 1

是的，但是。

上下文设置是要重复的，但是如果您查看步骤的实际内容，那么实际的实现基本上就是一个检查步骤。上下文不太可能发生很大的变化，但是检查它是否发生了是您应该做的事情，因为它有可能发生。

请注意，ISO 27005是一个指南(以及质量较低的ISO之一)，与认证无关。您必须满足的要求是ISO 27001中的要求。

如果您查看相关的ISO 27001认证，它会说：

组织应不断提高信息安全管理系统的适用性、适足性和有效性。

因此，问题在于，是否有必要审查上下文，以确保实现这一目标。根据这些基本原则，在我看来，对上下文的审查显然应该是定期审查周期的一部分。换句话说:是的，您必须定期检查最初建立的上下文是否仍然合适。如果没有，则需要重复“上下文建立”步骤来确定新的上下文。

也有人强烈支持每年建立一个新的背景。您现在正在做的是ISO 27001中的第6.1.2章(建立风险评估过程)，它有一个困难的要求：

( b)确保反复进行的信息安全风险评估产生一致、有效和可比的结果；

我要质疑的是，如果你的背景总是在变化，你的结果就不能保证一致和可比较。

在我建立的风险管理过程中(我是一个ISMS架构师和风险管理培训师)，上下文设置是一个“勾选”步骤。是的，在年度回顾中，检查上下文是否仍然正确和有效。语境并不是永恒不变的，它是可以改变的。但是，只有在发生了对风险评估有影响的重大变化的情况下，才能建立一个新的背景。例如，由于合并，公司的风险偏好可能会发生变化。或者可以扩大国际主义的范围。或者像GDPR这样的新法律改变了对某些类型风险的法律责任。这些变化可以改变风险管理环境。