8 运行

8.1 运行规划和控制

组织应对满足信息安全要求及实施6.1中确定的措施所需的过程予以规划、实施和控制。组织也应实施计划以实现6.2中确定的信息安全目标。

组织应保持文件化信息达到必要的程度，以确信过程按计划得到执行。

组织应控制计划内的变更并评审非预期变更的后果，必要时采取措施减轻负面影响。

组织应确保外包过程得到确定和控制。

8.2 信息安全风险评估

组织应考虑6.1.2 a)建立的准则，按计划的时间间隔，或当重大变更提出或发生时，执行信息安全风险评估。

组织应保留信息安全风险评估结果的文件化信息。

8.3 信息安全风险处置

组织应实施信息安全风险处置计划。

组织应保留信息安全风险处置结果的文件化信息。