6. 规划

6.1 应对风险和机会的措施

6.1.1 总则

当规划信息安全管理体系时，组织应考虑4.1中提到的问题和4.2中提到的要求，确定需要应对的风险和机会，以：

a) 确保信息安全管理体系能实现预期结果；

b) 预防或减少意外的影响；

c) 实现持续改进。

组织应规划：

d) 应对这些风险和机会的措施；

e) 如何：

1) 将这些措施整合到信息安全管理体系过程中，并予以实施；

2) 评价这些措施的有效性。

6.1.2 信息安全风险评估

组织应定义并应用信息安全风险评估过程，以：

a) 建立和维护信息安全风险准则，包括:

1) 风险接受准则；

2) 信息安全风险评估实施准则。

b) 确保重复的信息安全风险评估可产生一致的、有效的和可比较的结果；

c) 识别信息安全风险：

1) 应用信息安全风险评估过程，以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险；

2) 识别风险责任人；

d) 分析信息安全风险：

1) 评估6.1.2 c) 1)中所识别的风险发生后，可能导致的潜在后果；

2) 评估6.1.2 c) 1)中所识别的风险实际发生的可能性；

3) 确定风险级别；

e) 评价信息安全风险：

1) 将风险分析结果与6.1.2 a)中建立的风险准则进行比较；

2) 排列已分析风险的优先顺序，以便于风险处置。

组织应保留信息安全风险评估过程的文件化信息。

6.1.3 信息安全风险处置

组织应定义并应用信息安全风险处置过程，以：

a) 在考虑风险评估结果的基础上，选择适合的信息安全风险处置选项；

b) 确定实施已选的信息安全风险处置选项所必需的全部控制措施；

注：组织可根据需要设计控制措施，或从任何来源识别控制措施。

c) 将6.1.3 b)确定的控制措施与附录A中的控制措施进行比较，以核实没有遗漏必要的控制措施；

注1：附录A包含了控制目标和控制措施的综合列表。本标准用户可使用附录A，以确保没有忽略必要的控制措施。

注2：控制目标包含于所选择的控制措施内。附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施，组织也可能需要另外的控制目标和控制措施。

d) 制定适用性声明，包含必要的控制措施（见6.1.3 b）和c））及其选择的合理性说明（无论该控制措施是否已实施），以及对附录A控制措施删减的合理性说明；

e) 制定信息安全风险处置计划；

f) 获得风险责任人对信息安全风险处置计划的批准，及对信息安全残余风险的接受。

组织应保留信息安全风险处置过程的文件化信息。

注：本标准中的信息安全风险评估和处置过程与ISO 31000[5]中给出的原则和通用指南

6.2 信息安全目标和实现规划

组织应在相关职能和层次上建立信息安全目标。

信息安全目标应：

a) 与信息安全方针一致；

b) 可测量（如可行）；

c) 考虑适用的信息安全要求，以及风险评估和风险处置的结果；

d) 得到沟通；

e) 在适当时更新。

组织应保留信息安全目标的文件化信息。

在规划如何实现信息安全目标时，组织应确定：

f) 要做什么；

g) 需要什么资源；

h) 由谁负责；

i) 什么时候完成；

j) 如何评价结果。