信息安全風險處置
組織應定義并應用信息安全風險處置過程，以：
a) 在考慮風險評估結果的基礎上，選擇適合的信息安全風險處置選項；
b) 確定實施已選的信息安全風險處置選項所必需的全部控制措施；
注：組織可根據需要設計控制措施，或從任何來源識別控制措施。
c) 將 6.1.3 b)確定的控制措施與附錄 A 中的控制措施進行比較，以核實沒有遺漏
必要的控制措施；
注 1：附錄 A 包含了控制目標和控制措施的綜合列表。本標準用戶可使用附錄 A，以確
保沒有忽略必要的控制措施。
注 2：控制目標包含于所選擇的控制措施內。附錄 A 所列的控制目標和控制措施并不是所
有的控制目標和控制措施，組織也可能需要另外的控制目標和控制措施。
d) 制定適用性聲明，包含必要的控制措施（見 6.1.3 b）和 c））及其選擇的合理
性說明（無論該控制措施是否已實施），以及對附錄 A 控制措施刪減的合理性說明；
e) 制定信息安全風險處置計劃；
f) 獲得風險責任人對信息安全風險處置計劃的批準，及對信息安全殘余風險的接
受。
組織應保留信息安全風險處置過程的文件化信息。
注：本標準中的信息安全風險評估和處置過程與 ISO 31000[5]中給出的原則和通用指南是一致的。

相關文章：

新版ISO 31000可簡化風險管理 ISO 55000 資產管理體系適用范圍 ISO27001和等級保護標準的區(qū)別有哪些？ 隱私信息管理體系ISO/IEC 27701標準解析