0.2 信息安全要求

0.2 信息安全要求

組織識別其安全要求是必要的。安全要求的三個主要來源是：

a) 考慮組織的整體業務戰略與目標，對組織風險的評估。通過風險評估，識別資產受到的威脅，評價易受威脅利用的脆弱性和威脅發生的可能性，估計潛在的影響；

b) 組織及其貿易伙伴、合同方和服務提供商必須滿足的法律、法規、規章制度和合同要求，以及他們的社會文化環境；

c) 組織為支持其運行，針對信息的操作、處理、存儲、通信和歸檔而建立的原則、目標和業務要求。

實現控制所使用的資源，必須權衡缺少這些控制而導致的安全問題以及可能導致的業務危害。風險評估的結果將有助于指導和確定合適的管理措施、信息安全風險管理的優先級以及為防范這些風險所選擇控制實現的優先級。

ISO/IEC 27005^[11]^提供了信息安全風險管理指南，包括風險評估、風險處置、風險接受、風險溝通、風險監視和風險評審各方面的建議。