6.1應對風險和機會的措施

6.1.1總則

當規劃信息安全管理體系時，組織應考慮4.1中提到的事項和4.2中提到的要求，并確定需要應對的風險和機會，以：

a)確保信息安全管理體系可達到預期結果；

b)預防或減少不良影響；

c)達到持續改進。

組織應規劃：

d)應對這些風險和機會的措施；

e)如何：

1)將這些措施整合到信息安全管理體系過程中，并予以實現；

2)評價這些措施的有效性。

6.1.2信息安全風險評估

組織應定義并應用信息安全風險評估過程，以：

a)建立并維護信息安全風險準則，包括：

1)風險接受準則；

2)信息安全風險評估實施準則。

b)確保反復的信息安全風險評估產生一致的、有效的和可比較的結果。

c)識別信息安全風險：

1)應用信息安全風險評估過程，以識別信息安全管理體系范圍內與信息保密性、完整性和可用性損失有關的風險；

2)識別風險責任人。

d)分析信息安全風險：

1)評估6.1.2c)1)中所識別的風險發生后，可能導致的潛在后果；

2)評估6.1.2c)1)中所識別的風險實際發生的可能性；

3)確定風險級別。

e)評價信息安全風險：

1)將風險分析結果與6.1.2a)中建立的風險準則進行比較；

2)為風險處置排序已分析風險的優先級。

組織應保留有關信息安全風險評估過程的文件化信息。

6.1.3信息安全風險處置

組織應定義并應用信息安全風險處置過程，以：

a)在考慮風險評估結果的基礎上，選擇適合的信息安全風險處置選項；

b)確定實現已選的信息安全風險處置選項所必需的所有控制；

注1：當需要時，組織可設計控制，或識別來自任何來源的控制。

c)將6.1.3b)確定的控制與附錄A中的控制進行比較，并驗證沒有忽略必要的控制；

注2：附錄A包含了控制目標和控制的綜合列表。本標準用戶可在附錄A的指導下，確保沒有遺漏必要的控制。

注3：控制目標隱含在所選擇的控制內。附錄A所列的控制目標和控制并不是完備的，可能需要額外的控制目標和控制。

d)制定一個適用性聲明，包含必要的控制[見6.1.3b)和c)]及其選擇的合理性說明(無論該控制是否已實現)，以及對附錄A控制刪減的合理性說明；

e)制定正式的信息安全風險處置計劃；

f)獲得風險責任人對信息安全風險處置計劃以及對信息安全殘余風險的接受的批準。

組織應保留有關信息安全風險處置過程的文件化信息。

注4：本標準中的信息安全風險評估和處置過程與ISO 31000[5] 中給出的原則和通用指南相匹配。