ISO27001信息安全風險管理是關于實現(xiàn)和維護與安全相關的信息系統(tǒng)機密性、完整性和可用性的各個方面。理想的安全風險標準應該是一種集成、一致、可分析、實用、成本效益平衡的方法。從信息安全風險管理分類的介紹可以看出，除安全技術風險外，信息安全風險還涉及安全政策、標準、意識、戰(zhàn)略等方面。比如ISO27001和NISTSP800-26安全自評指南(SecuritySelfasssmentGuide)比安全產(chǎn)品和系統(tǒng)更注重安全管理，是調整適合組織需求進行自評的好標準，已經(jīng)廣泛應用于各類組織、公共和私人部門、工商行業(yè)。但由于上述標準所涉及的安全方面缺乏定量的安全測量方法，不同的評估人員會因主觀原因給出不同的風險水平，使結果缺乏可信度，不能直接使用。

ISO27001信息安全風險分類不僅要考慮風險發(fā)生的可能性和可能的后果，還要考慮各種風險之間的關系，在單一風險的基礎上分析評估綜合安全風險。從信息安全科學的角度來看，較上述安全風險管理標準的基礎上，綜合環(huán)境、人員、管理、技術、法律、經(jīng)濟等系統(tǒng)風險境風險、信息機密性/完整性風險、系統(tǒng)風險、通信運營風險、基礎設施風險、業(yè)務連續(xù)性風險、第三方風險、風險評估風險、法律風險和風險決策風險。ISO27001信息安全風險管理是關于實現(xiàn)和維護與安全相關的信息系統(tǒng)機密性、完整性和可用性的各個方面。理想的安全風險標準應該是一種集成、一致、可分析、實用、成本效益平衡的方法。

從信息安全風險管理分類的介紹可以看出，除安全技術風險外，信息安全風險還涉及安全政策、標準、意識、戰(zhàn)略等方面。比如ISO27001和NISTSP800-26安全自評指南(SecuritySelfasssmentGuide)比安全產(chǎn)品和系統(tǒng)更注重安全管理，是調整適合組織需求進行自評的好標準，已經(jīng)廣泛應用于各類組織、公共和私人部門、工商行業(yè)。但由于上述標準所涉及的安全方面缺乏定量的安全測量方法，不同的評估人員會因主觀原因給出不同的風險水平，使結果缺乏可信度，不能直接使用。

ISO27001信息安全風險分類不僅要考慮風險發(fā)生的可能性和可能的后果，還要考慮各種風險之間的關系，在單一風險的基礎上分析評估綜合安全風險。從信息安全科學的角度來看，較上述安全風險管理標準的基礎上，綜合環(huán)境、人員、管理、技術、法律、經(jīng)濟等系統(tǒng)風險境風險、信息機密性/完整性風險、系統(tǒng)風險、通信運營風險、基礎設施風險、業(yè)務連續(xù)性風險、第三方風險、風險評估風險、法律風險和風險決策風險。