信息安全風(fēng)險處置
組織應(yīng)定義并應(yīng)用信息安全風(fēng)險處置過程，以：
a) 在考慮風(fēng)險評估結(jié)果的基礎(chǔ)上，選擇適合的信息安全風(fēng)險處置選項；
b) 確定實施已選的信息安全風(fēng)險處置選項所必需的全部控制措施；
注：組織可根據(jù)需要設(shè)計控制措施，或從任何來源識別控制措施。
c) 將 6.1.3 b)確定的控制措施與附錄 A 中的控制措施進(jìn)行比較，以核實沒有遺漏
必要的控制措施；
注 1：附錄 A 包含了控制目標(biāo)和控制措施的綜合列表。本標(biāo)準(zhǔn)用戶可使用附錄 A，以確
保沒有忽略必要的控制措施。
注 2：控制目標(biāo)包含于所選擇的控制措施內(nèi)。附錄 A 所列的控制目標(biāo)和控制措施并不是所
有的控制目標(biāo)和控制措施，組織也可能需要另外的控制目標(biāo)和控制措施。
d) 制定適用性聲明，包含必要的控制措施（見 6.1.3 b）和 c））及其選擇的合理
性說明（無論該控制措施是否已實施），以及對附錄 A 控制措施刪減的合理性說明；
e) 制定信息安全風(fēng)險處置計劃；
f) 獲得風(fēng)險責(zé)任人對信息安全風(fēng)險處置計劃的批準(zhǔn)，及對信息安全殘余風(fēng)險的接
受。
組織應(yīng)保留信息安全風(fēng)險處置過程的文件化信息。
注：本標(biāo)準(zhǔn)中的信息安全風(fēng)險評估和處置過程與 ISO 31000[5]中給出的原則和通用指南是一致的。

相關(guān)文章：

新版ISO 31000可簡化風(fēng)險管理 ISO 55000 資產(chǎn)管理體系適用范圍 ISO27001和等級保護標(biāo)準(zhǔn)的區(qū)別有哪些？ 隱私信息管理體系ISO/IEC 27701標(biāo)準(zhǔn)解析