6. 规划
6.1 应对风险和机会的措施
6.1.1 总则
当规划信息安全管理体系时,组织应考虑4.1中提到的问题和4.2中提到的要求,确定需要应对的风险和机会,以:
a) 确保信息安全管理体系能实现预期结果;
b) 预防或减少意外的影响;
c) 实现持续改进。
组织应规划:
d) 应对这些风险和机会的措施;
e) 如何:
1) 将这些措施整合到信息安全管理体系过程中,并予以实施;
2) 评价这些措施的有效性。
6.1.2 信息安全风险评估
组织应定义并应用信息安全风险评估过程,以:
a) 建立和维护信息安全风险准则,包括:
1) 风险接受准则;
2) 信息安全风险评估实施准则。
b) 确保重复的信息安全风险评估可产生一致的、有效的和可比较的结果;
c) 识别信息安全风险:
1) 应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险;
2) 识别风险责任人;
d) 分析信息安全风险:
1) 评估6.1.2 c) 1)中所识别的风险发生后,可能导致的潜在后果;
2) 评估6.1.2 c) 1)中所识别的风险实际发生的可能性;
3) 确定风险级别;
e) 评价信息安全风险:
1) 将风险分析结果与6.1.2 a)中建立的风险准则进行比较;
2) 排列已分析风险的优先顺序,以便于风险处置。
组织应保留信息安全风险评估过程的文件化信息。
6.1.3 信息安全风险处置
组织应定义并应用信息安全风险处置过程,以:
a) 在考虑风险评估结果的基础上,选择适合的信息安全风险处置选项;
b) 确定实施已选的信息安全风险处置选项所必需的全部控制措施;
注:组织可根据需要设计控制措施,或从任何来源识别控制措施。
c) 将6.1.3 b)确定的控制措施与附录A中的控制措施进行比较,以核实没有遗漏必要的控制措施;
注1:附录A包含了控制目标和控制措施的综合列表。本标准用户可使用附录A,以确保没有忽略必要的控制措施。
注2:控制目标包含于所选择的控制措施内。附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施,组织也可能需要另外的控制目标和控制措施。
d) 制定适用性声明,包含必要的控制措施(见6.1.3 b)和c))及其选择的合理性说明(无论该控制措施是否已实施),以及对附录A控制措施删减的合理性说明;
e) 制定信息安全风险处置计划;
f) 获得风险责任人对信息安全风险处置计划的批准,及对信息安全残余风险的接受。
组织应保留信息安全风险处置过程的文件化信息。
注:本标准中的信息安全风险评估和处置过程与ISO 31000[5]中给出的原则和通用指南
6.2 信息安全目标和实现规划
组织应在相关职能和层次上建立信息安全目标。
信息安全目标应:
a) 与信息安全方针一致;
b) 可测量(如可行);
c) 考虑适用的信息安全要求,以及风险评估和风险处置的结果;
d) 得到沟通;
e) 在适当时更新。
组织应保留信息安全目标的文件化信息。
在规划如何实现信息安全目标时,组织应确定:
f) 要做什么;
g) 需要什么资源;
h) 由谁负责;
i) 什么时候完成;
j) 如何评价结果。