0.3 控制的選擇

控制可以選自本標準或其他控制集，或適當時針對特定的需求設計新的控制。

控制的選擇取決于組織決策，該決策基于風險接受準則、風險處置選項、組織采用的通用風險管理方法；控制的選擇也必須遵守所有相關的國家法律法規。同時控制的選擇也取決于控制交互方式以提供縱深防御。

本標準中的某些控制可被當作信息安全管理的指導原則，并且可用于大多數組織。在每個控制之下，詳細地給出了其實現指南。有關選擇控制的更詳細信息以及其他的風險的處置選項，可參見ISO/IEC 27005^[11]^。

本文章首發在網安wangan.com 網站上。