| 6 策划/6.1 应对风险和机会的措施/6.1.1 总则 |
6.1.1 总则 当策划信息安全管理体系时,组织应考虑 4.1 中提到的事项和 4.2 中提到的要求,并确定需要应对的风险和机会,以: a) 确保信息安全管理体系可达到预期结果; b) 预防或减少不良影响; c) 达到持续改进。 组织应策划: d) 应对这些风险和机会的措施;以及 e) 如何: 1) 将这些措施整合到信息安全管理体系过程中,并予以实现;以及 2) 评价这些措施的有效性。 |
【新版变化】
新版6.1.1有轻微变化,本质上来说,实施要求是没变化的,删除了b)句尾的“and”。
【标准理解】
(1)ISO/IEC 27001风险管理体系是和IATF 16949一样的,包含了三个层面的风险管理,即决策层面的风险管理(涉及ISO/IEC 27001条款4.1,条款4.2,条款6.1.1以及条款7.1),执行层面的风险管理(涉及ISO/IEC 27001条款6.1.2,条款6.1.3,条款8.2以及条款8.3),以及项目层面的风险管理(涉及ISO/IEC 27001附录A.5.8);
(2)组织应根据本条款的要求,识别4.1和4.2输出的内外因素清单和相关方要求涉及的风险和机遇,并制定相应的应对措施;
(3)应对措施需要整合到信息安全管理体系的各个过程之中,并在适合的二阶文件中明确这些措施;
(4)组织应定期对这些风险和机遇应对措施的有效性进行评价;
(5)组织应根据这些风险和机遇应对措施,规划信息安全管理体系所需资源(条款7.1的要求)。
备注1:本系列所有ISO/IEC 27001: 2022条款讲解均可以通过以下网址查看相对应讲解的视频:https://video.27001.cn/course-3.html
【行动要点】
(1)建立风险和机遇管理过程(如图十四);
(2)形成书面的《风险和机遇管理流程》或《风险和机遇管理程序》;
(3)按照《风险和机遇管理流程》,对风险和机遇进行识别,提出应对措施,并制定措施的实现方案(整合到相应的过程和二阶文件之中);
(4)定期对应对措施的有效性进行评价。
备注2:本系列讲解对应的过程乌龟图,以及输出的表单记录(示例),将在即将出版的书籍《ISO/IEC 27001: 2022标准详解与实施》中呈现。
备注3:本系列讲解的配套文件(包含一阶文件,二阶文件,三阶文件,以及四阶文件),所有文件均是独家全新编写的,企业付费(暂不接受个人付费)可以获取,请见《独家:ISO/IEC 27001: 2022全新全套文件提供和使用指导》。
【输出文档】
(1)《风险和机遇管理流程》或《风险和机遇管理程序》;
(2)风险和机遇识别记录(含应对措施和实现方案);
(3)风险和机遇应对措施的有效性评价记录。
【审核要点】
(1)是否有形成书面的《风险和机遇管理流程》或《风险和机遇管理程序》;
(2)是否按照《风险和机遇管理程序》或《风险和机遇管理程序》输出书面的风险和机遇识别记录,包括应对措施和实现方案;
(3)是否有对应对风险和机遇的措施进行有效性的评价,能否提供评价记录。
