ISO/IEC 27001: 2022标准 正文 6 Planning 策划/6.1 Actions to address risks and opportunities 应对风险和机会的措施/6.1.1 General 总则

6.1.1 General 总则

When planning for the information security management system, the organization shall consider the issues referred to in 4.1 and the requirements referred to in 4.2 and determine the risks and opportunities that need to be addressed to:
当策划信息安全管理体系时,组织应考虑4.1中提到的事项和4.2中提到的要求,并确定需要应对的风险和机会,以:

a) ensure the information security management system can achieve its intended outcome(s);
a) 确保信息安全管理体系可达到预期结果;

b) prevent, or reduce, undesired effects;
b) 预防或减少不良影响;

c) achieve continual improvement.
c) 达到持续改进。

The organization shall plan:
组织应策划:

d) actions to address these risks and opportunities; and
d) 应对这些风险和机会的措施;以及

e) how to
e) 如何:

1) integrate and implement the actions into its information security management system processes; and
1) 将这些措施整合到信息安全管理体系过程中,并予以实现;以及

2) evaluate the effectiveness of these actions.
2) 评价这些措施的有效性。
ISO/IEC 27001:2013标准 正文 6 规划/6.1 应对风险和机会的措施/6.1.1 总则

6.1.1 总则

当规划信息安全管理体系时,组织应考虑4.1中提及的问题和4.2中提及的要求,确定需要应对的风险和机会,以:
a) 确保信息安全管理体系能实现其预期结果;
b) 防止或减少意外的影响;
c) 实现持续改进。

组织应规划:
d) 应对这些风险和机会的措施;
e) 如何
1) 整合和实施这些措施并将其纳入信息安全管理体系过程;
2) 评价这些措施的有效性。

标准解析

  1. 本条款(ISO/IEC 27001: 2022)条文与ISO/IEC 27001:2013比较,有轻微的变化,但要求是一样的,对实施没有影响。在新版中,将原来条款b)中句尾的“and”删除了,中文版其实是看不出新旧版区别的。
  2. 本条款是常见体系标准(ISO 9001,ISO 14001以及ISO 45001等)通用条款,因此同样建议与这些体系整合实施。
  3. 应基于内部和外部问题(见4.1)和相关方的要求(见4.2)来确定ISMS预期成果的风险和机会。
  4. 应针对识别出来的风险和机遇制定应对计划,并将相关应对措施整合到ISMS实施过程中,另外需要对应对措施的有效性进行评价。
  5. ISO/IEC 27001:2022 6.1是关于应对有关ISMS的所有类型的风险和机会的行动规划。这包括风险评估和风险处置计划。 规划过程中,构成ISO/IEC 27001的细分风险分为两类:a) 与ISMS整体的预期成果相关的风险和机会;b)与ISMS范围内信息的机密性、完整性和可用性的损失相关的信息安全风险。第一类宜按照ISO/IEC 27001:2022,6.1.1(总则)中规定的要求进行处理。属于这一类的风险可能是与ISMS本身、ISMS范围定义、最高管理层对信息安全的承诺、ISMS运营资源等相关的风险。属于这一类的机会可能是与ISMS成果、ISMS的经济价值,运行ISMS过程和信息安全控制的功效等。第二类由与ISMS范围内信息的机密性、完整性和可用性的损失直接相关的所有风险组成。这些风险宜根据6.1.2(信息安全风险评估)和6.1.3(信息安全风险处置)进行处理。

实施本条款应输出的文档

  1. 《风险和机遇分析控制程序》。
  2. 风险和机遇分析表、应对措施计划、应对措施有效性评价记录等。

本条款审核要点

  1. 检查是否依据4.1和4.2输出的内外环境因素和相关方要求,进行了风险和机遇的识别,以及制定了相关应对措施计划,并提供相关记录进行验证。
  2. 是否定期应对措施有效性进行评价,并提供评价记录。

ISO/IEC 27001:2013标准解读(10)正文 6 规划/6.1 应对风险和机会的措施/6.1.1 总则