信息安全風(fēng)險(xiǎn)處置
組織應(yīng)定義并應(yīng)用信息安全風(fēng)險(xiǎn)處置過(guò)程，以：
a) 在考慮風(fēng)險(xiǎn)評(píng)估結(jié)果的基礎(chǔ)上，選擇適合的信息安全風(fēng)險(xiǎn)處置選項(xiàng)；
b) 確定實(shí)施已選的信息安全風(fēng)險(xiǎn)處置選項(xiàng)所必需的全部控制措施；
注：組織可根據(jù)需要設(shè)計(jì)控制措施，或從任何來(lái)源識(shí)別控制措施。
c) 將 6.1.3 b)確定的控制措施與附錄 A 中的控制措施進(jìn)行比較，以核實(shí)沒(méi)有遺漏
必要的控制措施；
注 1：附錄 A 包含了控制目標(biāo)和控制措施的綜合列表。本標(biāo)準(zhǔn)用戶(hù)可使用附錄 A，以確
保沒(méi)有忽略必要的控制措施。
注 2：控制目標(biāo)包含于所選擇的控制措施內(nèi)。附錄 A 所列的控制目標(biāo)和控制措施并不是所
有的控制目標(biāo)和控制措施，組織也可能需要另外的控制目標(biāo)和控制措施。
d) 制定適用性聲明，包含必要的控制措施（見(jiàn) 6.1.3 b）和 c））及其選擇的合理
性說(shuō)明（無(wú)論該控制措施是否已實(shí)施），以及對(duì)附錄 A 控制措施刪減的合理性說(shuō)明；
e) 制定信息安全風(fēng)險(xiǎn)處置計(jì)劃；
f) 獲得風(fēng)險(xiǎn)責(zé)任人對(duì)信息安全風(fēng)險(xiǎn)處置計(jì)劃的批準(zhǔn)，及對(duì)信息安全殘余風(fēng)險(xiǎn)的接
受。
組織應(yīng)保留信息安全風(fēng)險(xiǎn)處置過(guò)程的文件化信息。
注：本標(biāo)準(zhǔn)中的信息安全風(fēng)險(xiǎn)評(píng)估和處置過(guò)程與 ISO 31000[5]中給出的原則和通用指南是一致的。

相關(guān)文章：

新版ISO 31000可簡(jiǎn)化風(fēng)險(xiǎn)管理 ISO 55000 資產(chǎn)管理體系適用范圍 ISO27001和等級(jí)保護(hù)標(biāo)準(zhǔn)的區(qū)別有哪些？ 隱私信息管理體系ISO/IEC 27701標(biāo)準(zhǔn)解析