In primo luogo, dovresti sapere che la famiglia di standard ISO27000 non è specifica per l'IT. A seconda dell'ambito definito all'inizio, l'analisi del rischio potrebbe coprire anche varie attività della vostra azienda. Naturalmente, poiché l'attenzione è rivolta alla gestione della sicurezza delle tue informazioni, ci sono molti controlli raccomandati che riguardano effettivamente l'IT.
Detto questo, lo standard dice che devi condurre un'analisi del rischio sui tuoi beni, ma dice molto poco su come dovresti farlo. La metodologia è qualcosa che sei libero di definire. Il più delle volte, non vorrai reinventare la ruota e usare una metodologia conosciuta, ma la scelta è tua. Di solito, si tratta di identificare le tue risorse e il loro valore per te, quindi le varie minacce a queste risorse e le vulnerabilità che queste minacce potrebbero sfruttare.
Quindi non si può davvero confrontare l'analisi del rischio effettuata nel processo di creazione del proprio ISMS (come da ISO27001) con un particolare tipo di analisi del rischio. Se vuoi, è un po 'come chiedere se qual è la differenza tra la costruzione di un muro e la muratura in mattoni.
Sul serio, lo standard dice comunque che la tua analisi del rischio dovrebbe essere riproducibile, in modo che possa dare gli stessi risultati se condotta, ad esempio, da due persone diverse. In questo senso, più precisa è la tua metodologia, meglio è.