保险专业资源下载网站

1. 简介

信息技术安全风险管理是帮助组织主动识别和评估可能影响其目标的潜在信息技术安全风险并确定风险优先权的重要流程。本文件提供参考模型，以使信息技术安全风险管理实务和方法保持一致。通过参考该模型，管理用户、信息技术经理、系统管理员以及其他技术和操作人员能更好地了解信息技术安全风险管理流程，亦能了解必要的准备事项、关键考虑因素和可实现结果。本文件旨在为决策局／部门提供全面框架，以开展符合其特定需求和背景的有效定制信息技术安全风险管理实务。

1.1 目的

本文件描述了信息技术安全风险管理的总体框架， 且应与其他安全文件结合使用，如《基准信息技术安全政策》 [S17]、《信息技术安全指南》 [G3]以及相关程序（如适用）。

本实务指南适用于所有参与信息技术安全风险管理的员工，以及为政府信息技术安全风险管理流程提供支持的信息技术安全顾问或审计师。

1.2 参考标准

以下的参考文件为应用本文件时必不可少的参考。

《基准信息技术安全政策》 [S17]，香港特别行政区政府

《信息技术安全指南》 [G3]，香港特别行政区政府

信息安全、 网络安全和私隐保护-信息安全管理系统-要求， ISO/IEC 27001:2022

信息安全、 网络安全和私隐保护-信息安全控制措施， ISO/IEC 27002:2022

信息安全、 网络安全和私隐保护-信息安全风险管理指南， ISO/IEC 27005:2022

风险管理-指南， ISO 31000:2018