关于威胁建模与风险评估方法结合的思考

我对以下威胁建模与风险管理结合方法存在一些思考：对于符合ISO 31000风险管理标准的ISO 27001风险评估方法（既定的标准化方法），使用来自STRIDE威胁建模（更深入的分析）的威胁并执行ISO 27005风险评估，同时提供超出ISO 27002范围的控制措施，这是否存在错误？

换句话说，如果我使用ISO 27005执行风险评估，采用其他框架的控制措施和威胁而非ISO 27000系列定义的内容，同时保持符合ISO 31000和ISO 27001的要求，这是否存在错误？

专业解答

虽然我无法获取最新版ISO 27005，但根据对过往版本的了解，ISO 27005中概述的流程和活动符合ISO 31000和ISO 27001标准。ISO 31000是适用于所有风险类型的通用风险管理框架。ISO 27001和ISO 27005专注于信息安全领域，在该领域提供额外指导。具体而言，ISO 27005基于ISO 31000开展风险管理活动。但是，您可以在不遵循ISO 27005或ISO 31000的情况下实现ISO 27001合规性。

我认为忽略其他方法论中识别的威胁作为风险管理输入是错误的。与威胁相关存在不确定性和可能性，这些可以被归类为风险。无论您遵循27005、31000还是其他框架的指导，都应考虑与威胁相关的风险，以帮助确定缓解措施的优先级。

扩展讨论

从两个角度思考使用27005的操作：安全性与合规性。从合规角度，您可能希望将风险范围限制在27000发现的范围内，以避免与审计人员产生争议。但从安全角度而言，这种做法将是愚蠢的。

需要重点考虑的是：通过STRIDE等威胁建模发现的威胁，很难想象不会对信息安全产生影响。威胁建模也将成为威胁情报控制（5.7）的组成部分，因此很难不将其纳入考量范围。