iso认证老师 发表于 2021-2-2 16:49:05

iso27001认证标准6.1.3条款信息安全风险处置的应用

iso27001认证标准6.1.3条款信息安全风险处置的应用

iso27001认证标准6.1.3条款信息安全风险处置的原文:
组织应定义并应用信息安全风险处置过程,以
a)在考虑风险评估结果的前提下,选择适当的信息安全风险处置选项
b)为实施所选择的信息安全风险处置选项,确定所有必需的控制措施;注:组织可按要求设计控制措施,或从其他来源识别控制措施
c)将6.13b)所确定的控制措施与附录A的控制措施进行比较,以核实没有遗漏必要的控制措施;注1:附录A包含了一份全面的控制目标和控制措施的列表。本标准用户可利用附录A以确保不会遗漏必要的控制措施
注2:控制目标包含于所选择的控制措施内。附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施,组织也可能需要另外的控制目标和控制措施。
d)产生适用性声明。适用性声明要包含必要的控制措施(见613b)和c))、对包含的合理性说明
(无论是否已实施)以及对附录A控制措施删减的合理性说明
e)制定信息安全风险处置计划
f)获得风险负责人对信息安全风险处置计划以及接受信息安全残余风险的批准组织应保留信息安全风险处置过程的文件化信息
注:本标准中的信息安全风险评估和处置过程可与SO31000中规定的原则和通用指南相结合

iso27001认证标准6.1.3条款信息安全风险处置的应用:
工程部根据风险评估结果制定风险处置措施,并形成计划与跟踪文件,包括风险处理责任部门、负责人、处理方法、时间、优先级等。
对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:
a)避免风险:通过不继续进行可能产生风险的活动来规避风险;
b)降低风险:通过规范、要求、法律、监察、管理、测试、技术开发、技术控制等措施降低风险产生的可能性,来达到降低风险的目的;
c)转移风险:通过合同、保险、合伙、资产转移等方式转移风险;
d)接受风险:不采取任何风险处置措施,选择接受/承受风险;
e)行政部根据信息安全方针、业务发展要求及风险评估的结果,制定了信息安全目标,并将目标分解到相关部门,对照ISO27001:2013的附录A中的控制措施,确认没有必要的控制项;
f)行政部编制《信息安全适用性声明》,该声明包括所选择控制目标与措施的概要描述,以及选择原因,对标准附录A中未选用的控制目标及措施理由说明。
g)行政部根据风险评估的结果,对风险所采用的控制措施,制定风险处置计划,在总经理审批之后,组织相关部门进行风险处置,并跟踪风险处置过程。
h)对风险处理后的残余风险,需经过各部门经理的批准,必要时,提交总经理审批。





本文地址:http://www.isorenzheng.org/thread-18355-1-1.html
页: [1]
查看完整版本: iso27001认证标准6.1.3条款信息安全风险处置的应用