ISO27001信息安全管理體系如何規(guī)劃（策劃）

Date11 4 月 2019

規(guī)劃
6.1 應(yīng)對風(fēng)險和機會的措施
6.1.1 總則
當(dāng)規(guī)劃信息安全管理體系時，組織應(yīng)考慮 4.1 中提到的問題和 4.2 中提到的要求，確定
需要應(yīng)對的風(fēng)險和機會，以：
a) 確保信息安全管理體系能實現(xiàn)預(yù)期結(jié)果；
b) 預(yù)防或減少意外的影響；
c) 實現(xiàn)持續(xù)改進。
組織應(yīng)規(guī)劃：
d) 應(yīng)對這些風(fēng)險和機會的措施；
e) 如何：
1) 將這些措施整合到信息安全管理體系過程中，并予以實施；
2) 評價這些措施的有效性。
6.1.2 信息安全風(fēng)險評估
組織應(yīng)定義并應(yīng)用信息安全風(fēng)險評估過程，以：
a) 建立和維護信息安全風(fēng)險準(zhǔn)則，包括:
1) 風(fēng)險接受準(zhǔn)則；
2) 信息安全風(fēng)險評估實施準(zhǔn)則。
b) 確保重復(fù)的信息安全風(fēng)險評估可產(chǎn)生一致的、有效的和可比較的結(jié)果；
c) 識別信息安全風(fēng)險：
1) 應(yīng)用信息安全風(fēng)險評估過程，以識別信息安全管理體系范圍內(nèi)與信息保密
性、完整性和可用性損失有關(guān)的風(fēng)險；
2) 識別風(fēng)險責(zé)任人；
d) 分析信息安全風(fēng)險：
1) 評估 6.1.2 c) 1)中所識別的風(fēng)險發(fā)生后，可能導(dǎo)致的潛在后果；
2) 評估 6.1.2 c) 1)中所識別的風(fēng)險實際發(fā)生的可能性；
3) 確定風(fēng)險級別；
e) 評價信息安全風(fēng)險：
1) 將風(fēng)險分析結(jié)果與 6.1.2 a)中建立的風(fēng)險準(zhǔn)則進行比較；
2) 排列已分析風(fēng)險的優(yōu)先順序，以便于風(fēng)險處置。
組織應(yīng)保留信息安全風(fēng)險評估過程的文件化信息。