组织应识别风险,识别ISMS范围内的重要资产及其责任人,识别重要资产所面临的威胁,识别可能被威胁利用的脆弱性,识别现有安全控制措施,识别丧失保密性、完整性和可用性可能对资产造成的影响。
分析和评价风险,在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下,
评估安全失效可能造成的对组织的影响;根据主要的威胁和脆弱性、对资产的影响以及当前所实施的控制措施,评估安全失效发生的现实可能性;估计风险的级别;确定风险是否可接受,或者是否需要使用既定的可接受风险级别的准则进行处理。
组织应识别和评价风险处置的可选措施,可能的措施包括:采用适当的控制措施消除风险或减轻风险;在明显满足组织方针策略和可接受风险的准则的条件下,有意识地、客观地接受风险;避免风险;将相关业务风险转移到其他方,如:保险,供应商等。
组织应为处理风险选择控制目标和控制措施。控制目标和控制措施应加以选择和实施, 以满足风险评估和风险处置过程中所识别的要求。这种选择应考虑可接受风险的准则以及法律法规和合同要求。IS02700l附录A中选择控制目标和控制措施应成为此过程的一部分,该过程适合于满足这些已识别的要求。附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施,组织也可以根据风险评估的结果和相关专家建议选择额外的控制目标和控制措施。
组织应获得管理者对建议的残余风险的批准,获得管理者对实施和运行ISMS的授权。
组织应准备适用性声明(Statement of Applicahility,SoA),SoA应包含以下几方面:
1)选择的控制目标和控制措施,以及选择的理由;2)当前实施的控制目标和控制措施;3)对IS0 27001附录A中任何控制目标和控制措施的删减,以及删减的合理性说明。适用性声明提供了一份关手风险处置决定的综述。删减的合理性说明提供交叉检查,以证明不会因疏忽而遗漏控制措施。