ISO27001中并没有具体规定风险评估的方法,只是对评估过程和步骤作了相应的规定,标准要求应该采用适当的风险评估方法。风险评估应该识别对资产的威胁、可能被威胁利用的薄弱点、威胁发生对组织的影响和发生的可能性,还应该能够确定风险的优先等级。
详见标准的4.2.1 c), 4.2.1 d)和,4.2.1 e) 。
