ISO/IEC 27001: 2022标准解读(11)正文 6 策划/6.1 应对风险和机会的措施/6.1.3 信息安全风险处置

ISO/IEC 27001:2013标准 正文 6 规划/6.1 应对风险和机会的措施/6.1.3 信息安全风险处置
6.1.3 信息安全风险处置

组织应定义并应用信息安全风险处置过程,以:

a) 在考虑风险评估结果的基础上,选择适合的信息安全风险处置选项;

b) 确定实现已选的信息安全风险处置选项所必需的所有控制;

注1:当需要时,组织可设计控制,或识别来自任何来源的控制。

c) 将6.1.3b)确定的控制与附录 A 中的控制进行比较,并验证没有忽略必要的控制;

注2:附录 A 包含了控制目标和控制的综合列表。本标准用户可在附录 A 的指导下,确保没有遗漏必要的控制。

注3:控制目标隐含在所选择的控制内。附录 A 所列的控制目标和控制并不是完备的,可能需要额外的控制目标和控制。

d) 制定一个适用性声明,包含必要的控制[见6.1.3b)和c)]及其选择的合理性说明(无论该控制是否已实现),以及对附录 A 控制删减的合理性说明;

e) 制定正式的信息安全风险处置计划;

f) 获得风险责任人对信息安全风险处置计划以及对信息安全残余风险的接受的批准。

组织应保留有关信息安全风险处置过程的文件化信息。

注4:本标准中的信息安全风险评估和处置过程与ISO31000中给出的原则和通用指南相匹配。

标准解读:

  1. 企业应按照6.1.3的要求,建立书面的信息安全风险处置程序,可以与6.1.2的信息安全风险评估程序合并为一,也可以单独建立;
  2. 信息安全风险处置程序应明确:(a)风险处置的方式,如风险保留、风险转移、风险降低以及风险回避等;(b)风险处置方式选择后,相应的风险控制参考来源,如ISO/IEC 27001:2013的附录A,NIST等;
  3. 风险控制可以选择ISO/IEC 27001:2013的附录A的控制措施,也可以选择其他标准如NIST,也可以企业根据自身的需要,自己建立相关的控制,但是需要相应的书面说明,说明可以放在适用性声明(SOA)中;
  4. 企业在实施本条款时,应参照附录A建立书面的适用性声明(SOA),以对比企业选择的风险控制与附录A要求的控制是否存在出入,是否有漏掉必要的控制。如果附录A中的一些控制措施,对企业处置信息安全风险暂时是不必要的,可以选择不适用,在适用性声明(SOA)中声明,并说明不适用的理由;
  5. 信息安全风险处置程序,还应明确风险处置计划的编制,风险处置措施的制定,风险处置措施的实施等,需要有书面的记录;
  6. 信息安全风险处置程序还要明确,风险处置计划的批准和残余风险的审批流程,一般残余风险要求企业的做高管理者签字接受风险。

实施本条款应输出的文档:

  1. 《信息安全风险处置程序》;
  2. 《适用性声明(SOA)》;

本条款审核要点:

  1. 是否按照条款要求,建立书面的《信息安全风险处置程序》;
  2. 《信息安全风险处置程序》是否明确风险处置方式和风险处置准则;
  3. 是否建立书面的《适用性声明(SOA)》,《适用性声明(SOA)》是否有删减条款,删减是否合理;
  4. 《信息安全风险处置程序》是否有对残余风险做出明确的要求,如接受残余风险需要谁签字批准;
  5. 风险处置计划是如何制定的。