请选择 进入手机版 | 继续访问电脑版

ITIL,DevOps,ITSS,ITSM,IT运维管理-ITIL先锋论坛

 找回密码
 立即注册

扫描二维码登录本站

QQ登录

只需一步,快速开始

查看: 1986|回复: 3

[ISO27001管理体系实践] ISO/IEC 27005:2008 信息安全技术风险管理 (中文版)

[复制链接]
发表于 2011-7-8 15:06:00 | 显示全部楼层 |阅读模式
ISO/IEC 27005:2008 信息安全技术风险管理 (中文版)
终于把ISO/IEC 27005:2008 翻译完成了。ISO/IEC 27005:2008与ISO/IEC 27001和ISO/IEC 27002 不一样,不是从BS7799系列中的BS7799-3转换过来的,而是从ISO/IEC TR 13335-3和ISO/IEC TR 13335-4 而来 。
ISO/IEC 27005更多的是介绍了很多概念性的东西,而对实际操作的提供的信息非常有限。而BS7799-3如同其标准名称一样( Guidelines for information
security risk management),其指南性的东西比较多,对实际操作的指导性更强。
但ISO/IEC 27005确实提出了很多有新意的概念,如将资产分为基本资产(信息和业务过程)和支持性资产, 以及由资产对另一资产的依赖型而定义的依赖性价值等概念。
这两个概念的提出被ISO/IEC 27002 (ISO/IEC 17799)中按资产的属性分成相对割裂的信息、软件、硬件、服务、人员、无形资产,从某种意义上更为合理。在进行风险评估时,可以很好的考虑到资产之间的相互关系,以形成信息资产在风险评估中的系统性概念。
另,为使大家更好的理解翻译的内容,对一些术语的翻译作一些说明:
risk assessment 风险评估
risk analysis?????? 风险分析
risk evaluation?? 风险评价
risk estimation????风险估计 ----- 在ISO/IEC 27001 并没有这个术语,由于评估、分析、评价几个词都被用掉了,没办法只好翻译成估计,实际上是一个对风险赋值的过程。
context 范畴 ----- 如果翻译成上下文,感觉实在太别扭,就翻译成范畴了。
risk retention??风险保持??---- 这个意思与27001种的风险接受 (risk acceptance)的意思一致,不过在27005 中, risk acceptance 主要用于风险接受的这样一个批准过程了。
scale 尺度 --- 没想到更好的词, 只好这么翻译了。
high level 纲领性的 ---- 如果翻译成高级、高层次的,可能与原文的意思有很大的差别。
approach 方法,method 办法,techniques 技术,way 方式??--- -没办法这几个词的意思实在差不多,只好这么翻译了。




上一篇:ISO 27005 is the name of the prime 27000 series standard cov
下一篇:关于ITO企业27001的实现
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

参加 ITIL 4 基础和专家认证、长河ITIL实战沙盘、DevOps基础级认证、ITSS服务经理认证报名

QQ|ITIL先锋论坛 ( 粤ICP备11099876号 )|appname

Baidu

GMT+8, 2022-6-28 10:56 , Processed in 0.132320 second(s), 30 queries .

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表