ISO/IEC 27001: 2022标准解读(9)正文 6 策划/6.1 应对风险和机会的措施/6.1.1 总则

ISO/IEC 27001:2013标准 正文 6 规划/6.1 应对风险和机会的措施/6.1.1 总则
6.1.1 总则

当规划信息安全管理体系时,组织应考虑4.1中提及的问题和4.2中提及的要求,确定需要应对的风险和机会,以:
a) 确保信息安全管理体系能实现其预期结果;
b) 防止或减少意外的影响;
c) 实现持续改进。

组织应规划:
d) 应对这些风险和机会的措施;
e) 如何
1) 整合和实施这些措施并将其纳入信息安全管理体系过程;
2) 评价这些措施的有效性。

标准解读

风险和机遇分析过程乌龟图
图四 风险和机遇分析过程乌龟图
  1. 本条款是常见体系标准(ISO 9001,ISO 14001以及ISO 45001等)通用条款,因此同样建议与这些体系整合实施(如图四)。
  2. 对于在关ISMS预期成果的风险和机会,组织基于内部和外部问题(见4.1)和相关方的要求(见4.2)来确定它们。
  3. 应针对识别出来的风险和机遇制定应对计划,并将相关应对措施整合到ISMS实施过程中,另外需要对应对措施的有效性进行评价。
  4. ISO/IEC 27001:2013 6.1是关于应对有关ISMS的所有类型的风险和机会的行动规划。这包括风险评估和风险处置计划。 规划过程中,构成ISO/IEC 27001的细分风险分为两类:a) 与ISMS整体的预期成果相关的风险和机会;b)与ISMS范围内信息的机密性、完整性和可用性的损失相关的信息安全风险。第一类宜按照ISO/IEC 27001:2013,6.1.1(总则)中规定的要求进行处理。属于这一类的风险可能是与ISMS本身、ISMS范围定义、最高管理层对信息安全的承诺、ISMS运营资源等相关的风险。属于这一类的机会可能是与ISMS成果、ISMS的经济价值,运行ISMS过程和信息安全控制的功效等。第二类由与ISMS范围内信息的机密性、完整性和可用性的损失直接相关的所有风险组成。这些风险宜根据6.1.2(信息安全风险评估)和6.1.3(信息安全风险处置)进行处理。
  5. 实施本条款需要的常用文件和记录:《风险和机遇分析控制程序》、风险和机遇分析表/应对措施计划/应对措施有效性评价记录等。