4.2 处置( Treating)安全风险。本节的描述要比GB/T 22080-2008/IS()/IEC 27001: 2005明确得多。“在考虑风险处置前,组织宜确定风险是否能被接受的准则。如果经评估显示,风险较低或处理成本对于组织来说不划算,则风险可被接受。”本段描述, 比较清晰地说明了风险接受的原则。
和GB/T 22080-2008/ISO/IEC 27001: 2005一样,在本标准中也给出了四个常见的风险处置选项:处理、转移、规避和接受。
对风险处理决定中要采用适当控制措施的那些风险来说,宜选择和实施这些控制措施以满足风险评估所识别的要求。控制措施应确保在考虑以下因素的情况下,将风险降低到可接受级别:
a)国家和国际法律法规的要求和约束;
b)组织的目标;
c)运行要求和约束;
d)降低风险相关的实施和运行的成本,并使之与组织的要求和约束相称; e)平衡控制措施实施和运行的投资与安全失误可能导致的损害的需要。
控制措施可以从本标准或其他控制集合中选择,或者设计新的控制措施以满足组织的特定需求。认识到有些控制措施并不是对每一种信息系统或环境都适用,并且不是对所有组织都可行,这一点非常重要。例如,10.1.3描述如何分割责任,以防止欺诈或错误。在较小的组织中分割所有责任是不太可能的,实现同一控制目标的其他方法可能是必要的。另外一个例子,10. 10描述如何监视系统使用及如何收集证据。所描述的控制措施,例如事件日志, 可能与适用的法律相冲突,诸如顾客或在工作场地内的隐私保护。
信息安全控制措施应在系统和项目需求说明书和设计阶段予以考虑。做不到这一点可能导致额外的成本和低效率的解决方案,最坏的情况下可能达不到足够的安全。
此外,还指明了“控制措施可以从本标准或其他控制措施集中选择,或者设计新的控制措施以满足组织的特定需求”,但是同时指出“宜谨记,没有一个控制措施集合能实现全部的安全(It should be kept in mind that no set of controls can achieve complete security)"。