8 运行
8.1 运行规划和控制
组织应对满足信息安全要求及实施6.1中确定的措施所需的过程予以规划、实施和控制。组织也应实施计划以实现6.2中确定的信息安全目标。
组织应保持文件化信息达到必要的程度,以确信过程按计划得到执行。
组织应控制计划内的变更并评审非预期变更的后果,必要时采取措施减轻负面影响。
组织应确保外包过程得到确定和控制。
8.2 信息安全风险评估
组织应考虑6.1.2 a)建立的准则,按计划的时间间隔,或当重大变更提出或发生时,执行信息安全风险评估。
组织应保留信息安全风险评估结果的文件化信息。
8.3 信息安全风险处置
组织应实施信息安全风险处置计划。
组织应保留信息安全风险处置结果的文件化信息。