ISO∕IEC 27001：2013&GB∕T 22080-2016信息技术 安全技术 信息安全管理体系要求第6章

6 规划

6.1  应对风险和机会的措施

6.1.1  总则

当规划信息安全管理体系时，组织应考虑4.1中提到的事项和4.2中提到的要求，并确定需要应对的风险和机会，以：

a） 确保信息安全管理体系可达到预期结果； 

b） 预防或减少不良影响；

c） 达到持续改进。

组织应规划：

d） 应对这些风险和机会的措施；

e） 如何：

1） 将这些措施整合到信息安全管理体系过程中，并予以实现；

2） 评价这些措施的有效性。

6.1.2  信息安全风险评估

组织应定义并应用信息安全风险评估过程，以：

a） 建立并维护信息安全风险准则，包括：

1） 风险接受准则；

2） 信息安全风险评估实施准则。

b） 确保反复的信息安全风险评估产生一致的、有效的和可比较的结果。

c） 识别信息安全风险：

1） 应用信息安全风险评估过程，以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险；

2） 识别风险责任人。

   d）分析信息安全风险：

      1）评估6.1.2c) 1）中所识别的风险发生后，可能导致的潜在后果；

      2）评估6.1.2c）1）中所识别的风险实际发生的可能性；

      3）确定风险等级。

   e）评价信息安全风险：

      1）将风险分析结果与6.1.2a）中建立的风险准则进行比较；

      2）为风险处置排序已分析风险的优先级。

    组织应保留有关信息安全风险评估过程的文件化信息。

6.1.3  信息安全风险处置

组织应定义并应用信息安全风险处置过程，以：

a） 在考虑风险评估结果的基础上，选择适合的信息安全风险处置选项；

b） 确定实现已选的信息安全风险处置选项所必需的所有控制；

注1：当需要时，组织可设计控制，或识别来自任何来源的控制。

c） 将6.1.3b）确定的控制与附录A中的控制进行比较，并验证没有忽略必要的控制；

注2：附录A包含了控制目标和控制的综合列表。本标准用户可在附录A的指导下，确保没有遗漏必要的控制。

注3：控制目标隐含在所选择的控制内。附录A所列的控制目标和控制并不是完备的，可能需要额外的控制目标和控制。

d）制定一个适用性声明，包含必要的控制[见6.1.3 b）和c）]及其选择的合理性说明（无论该控制是否已实现），以及对附录A控制删减的合理性说明；

e）制定正式的信息安全风险处置计划；

f）获得风险责任人对信息安全风险处置计划以及对信息安全残余风险的接受的批准。

组织应保留有关信息安全风险处置过程的文件化信息。

注4：本标准中的信息安全风险评估和处置过程与ISO 31000中给出的原则和通用指南相匹配。

6.2  信息安全目标及其实现规划

组织应在相关职能和层级上建立信息安全目标。

信息安全目标应：

a） 与信息安全方针一致；

b） 可测量（如可行）；

c） 考虑适用的信息安全要求，以及风险评估和风险处置的结果；

d） 得到沟通；

e） 适当时更新。

组织应保留有关信息安全目标的文件化信息。

在规划如何达到信息安全目标时，组织应确定：

f） 要做什么；

g） 需要什么资源；

h） 由谁负责；

i） 什么时候完成；

j） 如何评价结果。