【咨询内容介绍】

评估风险
该国际标准的基础是：信息的保护是基于业务信息的风险，该风险能促使组织运用合适的措施来保护业务的安全。很少有业务信息会暴露在多种风险之下，因此太多的安全措施可能使公司花费过多的成本。
标准的一个重大改变是组织现在需要详细说明（并文件化）风险评估的步骤[4.2.1 c]，这也意味着挑选并文件化风险评估方法将会使风险评估"产生可比较、可重复的结果" [4.2.1 c 和 4.3.1 d]。目前已通过BS 7799-2:2002认证的组织不会把这点看成一个比较大的变化，因为在评估过程中已经考虑过它了。打算通过BS 7799-2:2002认证的组织可能会把它看成该国际标准的新要求。

更新时间：2016/10/10 17:31:38