ISO 27001结构中的风险评估文档

Question

我们目前正在实施ISO27001，我有一个关于风险评估文档的问题。

我们选择EBIOS作为我们的风险评估方法，我在ISO 27001上下文和EBIOS上下文中发现了一些强制性文档的模板，它们之间有很大的不同。

我的问题是:我是否需要生成两种类型的文档，即使它们的内容相同，或者EBIOS文档在这种情况下就足够了？

Answer 1

要在规范中实现第6章的这一方面，您需要证明您有一种客观的方法来评估风险，以及您选择这样做的方法。风险评估的结果应该是可重复的(也就是说，如果我做了一个风险评估，而你对同一个过程进行了风险评估，我们需要得到相同的风险‘分数’)。

您使用哪种方法以及如何记录它，审计人员都不会在意。只要您实现了我前面所描述的，并且您可以解释为什么这个特定的方法适合您的组织。