ISO13335标准简介

-      Threats（威胁）——可能引起对我们的系统、组织和财富的，我们所不希望的不良影响。这些威胁可能是环境方面的、人员方面的、系统方面等等。
-      Vulnerabilities（漏洞）——漏洞就是存在于我们系统的各方面的脆弱性。这些漏洞可能存在于组织结构、工作流程、物理环境、人员管理、硬件、软件或者信息本身。
-      Impact（影响）——影响就是我们不希望出现的一些事故，这些事故导致我们在保密性、完整性、可用性、负责性、确实性、可靠性等方面的损失，并且造成我们信息资产的损失。
-      Risk（风险）——风险是威胁利用我们的漏洞，引起一些事故，对我们的信息财富造成一些不良影响的可能性。我们整个的安全管理实际上就是在做风险管理。
-      Safeguards（防护措施）——是我们为了降低风险所采用的解决办法。这些措施有些是在环境方面的，比如：门禁系统、人员安全管理、防火措施、 UPS等。有些措施是技术方面的，比如：网络防火墙、网络监控和分析、加密、数字签名、防病毒、备份和恢复、访问控制等等。
-      Residual Risk（剩余风险）——在经过一系列安全控制和安全措施之后，信息安全的风险会降低，但是绝对不会完全消失，会有一些剩余风险的存在。对这些风险可能我们就需要用其他方法转嫁或者承受。
-      Constraints（约束）——是一些组织实施安全管理时不得不受到环境的影响，不能完全按照理想的方式执行。这些约束可能来自组织结构、财务能力、环境限制、人员素质、时间、法律、技术、文化和社会等等。

风险管理关系模型
对上面的一些安全管理要素，ISO13335给出了一个非常有意思的风险管理关系模型。

应当如何利用ISO13335
ISO13335和BS7799(ISO17799)比较起来对安全管理的过程描述得更加细致，而且有多种角度的模型和阐述。ISO13335有几个方面比较突出：
第一，      对安全的概念和模型的描述非常独特，具有很大的借鉴意义。在全面考虑安全问题，进行安全教育，普及安全理念的时候，完全可以将其中的多种概念和模型结合起来。
第二，      对安全管理过程的描述非常细致，而且完全可操作。作为一个企业的信息安全主管机关，完全可以参照这个完整的过程规划自己的管理计划和实施步骤。
第三，      对安全管理过程中的最关键环节——风险分析和管理有非常细致的描述。包括基线方法、非形式化方法、详细分析方法和综合分析方法等风险分析方法学的阐述，对风险分析过程细节的描述都很有参考价值。
第四，      在标准的第四部分，有比较完整的针对6种安全需求的防护措施的介绍。将实际构建一个信息安全管理框架和防护体系的工作变成了一个搭积木的过程。
第五，      这个标准是一个开发的标准，标准还在不断的增加和改进中。现在标准的第五部分即将发布。