ISO27001信息安全管理体系信息安全风险处置要求

信息安全风险处置
组织应定义并应用信息安全风险处置过程,以:
a) 在考虑风险评估结果的基础上,选择适合的信息安全风险处置选项;
b) 确定实施已选的信息安全风险处置选项所必需的全部控制措施;
注:组织可根据需要设计控制措施,或从任何来源识别控制措施。
c) 将 6.1.3 b)确定的控制措施与附录 A 中的控制措施进行比较,以核实没有遗漏
必要的控制措施;
注 1:附录 A 包含了控制目标和控制措施的综合列表。本标准用户可使用附录 A,以确
保没有忽略必要的控制措施。
注 2:控制目标包含于所选择的控制措施内。附录 A 所列的控制目标和控制措施并不是所
有的控制目标和控制措施,组织也可能需要另外的控制目标和控制措施。
d) 制定适用性声明,包含必要的控制措施(见 6.1.3 b)和 c))及其选择的合理
性说明(无论该控制措施是否已实施),以及对附录 A 控制措施删减的合理性说明;
e) 制定信息安全风险处置计划;
f) 获得风险责任人对信息安全风险处置计划的批准,及对信息安全残余风险的接
受。
组织应保留信息安全风险处置过程的文件化信息。
注:本标准中的信息安全风险评估和处置过程与 ISO 31000[5]中给出的原则和通用指南是一致的。