| 终于把ISO/IEC 27005:2008 翻译完成了。ISO/IEC 27005:2008与ISO/IEC 27001和ISO/IEC 27002 不一样,不是从BS7799系列中的BS7799-3转换过来的,而是从ISO/IEC TR 13335-3和ISO/IEC TR 13335-4 而来 。 |
| ISO/IEC 27005更多的是介绍了很多概念性的东西,而对实际操作的提供的信息非常有限。而BS7799-3如同其标准名称一样( Guidelines for information |
| security risk management),其指南性的东西比较多,对实际操作的指导性更强。 |
| 但ISO/IEC 27005确实提出了很多有新意的概念,如将资产分为基本资产(信息和业务过程)和支持性资产, 以及由资产对另一资产的依赖型而定义的依赖性价值等概念。 |
| 这两个概念的提出被ISO/IEC 27002 (ISO/IEC 17799)中按资产的属性分成相对割裂的信息、软件、硬件、服务、人员、无形资产,从某种意义上更为合理。在进行风险评估时,可以很好的考虑到资产之间的相互关系,以形成信息资产在风险评估中的系统性概念。 |
| 另,为使大家更好的理解翻译的内容,对一些术语的翻译作一些说明: |
| risk assessment 风险评估 |
| risk analysis?????? 风险分析 |
| risk evaluation?? 风险评价 |
| risk estimation????风险估计 ----- 在ISO/IEC 27001 并没有这个术语,由于评估、分析、评价几个词都被用掉了,没办法只好翻译成估计,实际上是一个对风险赋值的过程。 |
| context 范畴 ----- 如果翻译成上下文,感觉实在太别扭,就翻译成范畴了。 |
| risk retention??风险保持??---- 这个意思与27001种的风险接受 (risk acceptance)的意思一致,不过在27005 中, risk acceptance 主要用于风险接受的这样一个批准过程了。 |
| scale 尺度 --- 没想到更好的词, 只好这么翻译了。 |
| high level 纲领性的 ---- 如果翻译成高级、高层次的,可能与原文的意思有很大的差别。 |
| approach 方法,method 办法,techniques 技术,way 方式??--- -没办法这几个词的意思实在差不多,只好这么翻译了。 |
转播
分享
淘帖
()
