咨询服务 培训服务
  肯达信服务热线 CTS 统一客服电话
400-690-0031
 
 
首页>咨询服务>ISO/IEC27001认证
ISO27001认证辅导---信息安全管理体系要求(规划)

6. 规划


6.1 应对风险和机会的措施

6.1.1 总则

当规划信息安全管理体系时,组织应考虑4.1中提到的问题和4.2中提到的要求,确定需要应对的风险和机会,以:

a) 确保信息安全管理体系能实现预期结果;

b) 预防或减少意外的影响;

c) 实现持续改进。

组织应规划:

d) 应对这些风险和机会的措施;

e) 如何:

1) 将这些措施整合到信息安全管理体系过程中,并予以实施;

2) 评价这些措施的有效性。


6.1.2 信息安全风险评估

组织应定义并应用信息安全风险评估过程,以:

a) 建立和维护信息安全风险准则,包括:

1) 风险接受准则;

2) 信息安全风险评估实施准则。

b) 确保重复的信息安全风险评估可产生一致的、有效的和可比较的结果;

c) 识别信息安全风险:

1) 应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险;

2) 识别风险责任人;

d) 分析信息安全风险:

1) 评估6.1.2 c) 1)中所识别的风险发生后,可能导致的潜在后果;

2) 评估6.1.2 c) 1)中所识别的风险实际发生的可能性;

3) 确定风险级别;

e) 评价信息安全风险:

1) 将风险分析结果与6.1.2 a)中建立的风险准则进行比较;

2) 排列已分析风险的优先顺序,以便于风险处置。

组织应保留信息安全风险评估过程的文件化信息。


6.1.3 信息安全风险处置

组织应定义并应用信息安全风险处置过程,以:

a) 在考虑风险评估结果的基础上,选择适合的信息安全风险处置选项;

b) 确定实施已选的信息安全风险处置选项所必需的全部控制措施;

注:组织可根据需要设计控制措施,或从任何来源识别控制措施。

c) 将6.1.3 b)确定的控制措施与附录A中的控制措施进行比较,以核实没有遗漏必要的控制措施;

注1:附录A包含了控制目标和控制措施的综合列表。本标准用户可使用附录A,以确保没有忽略必要的控制措施。

注2:控制目标包含于所选择的控制措施内。附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施,组织也可能需要另外的控制目标和控制措施。

d) 制定适用性声明,包含必要的控制措施(见6.1.3 b)和c))及其选择的合理性说明(无论该控制措施是否已实施),以及对附录A控制措施删减的合理性说明;

e) 制定信息安全风险处置计划;

f) 获得风险责任人对信息安全风险处置计划的批准,及对信息安全残余风险的接受。

组织应保留信息安全风险处置过程的文件化信息。

注:本标准中的信息安全风险评估和处置过程与ISO 31000[5]中给出的原则和通用指南


6.2 信息安全目标和实现规划

组织应在相关职能和层次上建立信息安全目标。

信息安全目标应:

a) 与信息安全方针一致;

b) 可测量(如可行);

c) 考虑适用的信息安全要求,以及风险评估和风险处置的结果;

d) 得到沟通;

e) 在适当时更新。

组织应保留信息安全目标的文件化信息。

在规划如何实现信息安全目标时,组织应确定:

f) 要做什么;

g) 需要什么资源;

h) 由谁负责;

i) 什么时候完成;

j) 如何评价结果。

SA8000

SA8000. 社会责任管理体系认证咨询项目
点击查看

WAL-MART

WAL-MART. 沃尔玛客户验厂咨询项目
点击查看

ISO20000认证咨询

ISO20000. IT服务管理体系国际标准认证咨询介绍
点击查看
客服中心

您好,我是肯达信管理顾问公司客服,欢迎咨询!

陈小姐

您好,我是肯达信管理顾问公司客服,欢迎咨询!

程小姐

您好,我是肯达信管理顾问公司客服,欢迎咨询!

廖小姐

您好,我是肯达信管理顾问公司客服,欢迎咨询!

杨老师

您好,我是肯达信管理顾问公司客服,欢迎咨询!

潘老师

客户服务热线

400-690-0031

24小时热线

18576401396


展开客服