ISO/IEC 27001: 2022标准 正文 6 Planning 策划/6.1 Actions to address risks and opportunities 应对风险和机会的措施/6.1.3 Information security risk treatment 信息安全风险处置

6.1.3 Information security risk treatment 信息安全风险处置

The organization shall define and apply an information security risk treatment process to:
组织应定义并应用信息安全风险处置过程,以:

a) select appropriate information security risk treatment options, taking account of the risk assessment results;
a) 在考虑风险评估结果的基础上,选择适合的信息安全风险处置选项;

b) determine all controls that are necessary to implement the information security risk treatment option(s) chosen;
b) 确定实现已选的信息安全风险处置选项所必需的所有控制;

NOTE 1 Organizations can design controls as required, or identify them from any source.
注1:当需要时,组织可设计控制,或识别来自任何来源的控制。

c) compare the controls determined in 6.1.3 b) above with those in Annex A and verify that no necessary controls have been omitted;
c) 将6.1.3 b)确定的控制与附录 A 中的控制进行比较,并验证没有忽略必要的控制;

NOTE 2 Annex A contains a list of possible information security controls. Users of this document are directed to Annex A to ensure that no necessary information security controls are overlooked.
注2:附录 A 包含了可能需要的信息安全控制列表。本文件用户可在附录 A 的指导下,确保没有遗漏必要的信息安全控制。

NOTE 3 The information security controls listed in Annex A are not exhaustive and additional information security controls can be included if needed.
注3:附录 A 所列的信息安全控制并不是完备的,如果有需要,可以包含额外的信息安全控制。

d) produce a Statement of Applicability that contains:
d) 制定一个适用性声明(SOA),其包含:

— the necessary controls (see 6.1.3 b) and c));
— 必要的控制(见 6.1.3 b) 和 c));

— justification for their inclusion;
— 其选择的合理说明;

— whether the necessary controls are implemented or not; and
— 无论该必要的控制是否已实现;以及

— the justification for excluding any of the Annex A controls.
— 及对附录 A 控制删减的合理性说明。

e) formulate an information security risk treatment plan; and
e) 制定正式的信息安全风险处置计划;

f) obtain risk owners’ approval of the information security risk treatment plan and acceptance of the residual information security risks.
f) 获得风险责任人对信息安全风险处置计划以及对信息安全残余风险的接受的批准。

The organization shall retain documented information about the information security risk treatment process.
组织应保留有关信息安全风险处置过程的文件化信息。

NOTE 4 The information security risk assessment and treatment process in this document aligns with the principles and generic guidelines provided in ISO 31000[5].
注4:本文件中的信息安全风险评估和处置过程与ISO31000[5]中给出的原则和通用指南相匹配。
ISO/IEC 27001:2013标准 正文 6 规划/6.1 应对风险和机会的措施/6.1.3 信息安全风险处置

6.1.3 信息安全风险处置

组织应定义并应用信息安全风险处置过程,以:

a) 在考虑风险评估结果的基础上,选择适合的信息安全风险处置选项;

b) 确定实现已选的信息安全风险处置选项所必需的所有控制;

注1:当需要时,组织可设计控制,或识别来自任何来源的控制。

c) 将6.1.3b)确定的控制与附录 A 中的控制进行比较,并验证没有忽略必要的控制;

注2:附录 A 包含了控制目标和控制的综合列表。本标准用户可在附录 A 的指导下,确保没有遗漏必要的控制。

注3:控制目标隐含在所选择的控制内。附录 A 所列的控制目标和控制并不是完备的,可能需要额外的控制目标和控制。

d) 制定一个适用性声明,包含必要的控制[见6.1.3b)和c)]及其选择的合理性说明(无论该控制是否已实现),以及对附录 A 控制删减的合理性说明;

e) 制定正式的信息安全风险处置计划;

f) 获得风险责任人对信息安全风险处置计划以及对信息安全残余风险的接受的批准。

组织应保留有关信息安全风险处置过程的文件化信息。

注4:本标准中的信息安全风险评估和处置过程与ISO31000中给出的原则和通用指南相匹配。

标准解析

  1. 本条款(ISO/IEC 27001: 2022)条文与ISO/IEC 27001:2013比较,做了轻微的变更,但要求没有变化,因此实施时,不需要做特别的变更。新版将条款d)的文字进行了拆解,看起来条理更清晰,但整体意涵和要求没有变化。另外新版的几个注解的序号进行了调整,个别注解的文字表述进行了调整。
  2. 企业应按照6.1.3的要求,建立书面的信息安全风险处置程序,可以与6.1.2的信息安全风险评估程序合并为一,也可以单独建立。
  3. 6.1.3与后面8.3的标题都是“信息安全风险处置”,但两个的意涵是不一样的,6.1.3是信息安全风险处置的策划要求,而8.3是信息安全风险处置的实施要求。
  4. 应策划信息安全风险处置过程:(a)风险处置的方式,如风险保留、风险转移、风险降低以及风险回避等;(b)风险处置方式选择后,相应的风险控制参考来源,如ISO/IEC 27001:2022的附录A,NIST等。
  5. 风险控制可以选择ISO/IEC 27001:2022的附录A的控制措施,也可以选择其他标准如NIST,也可以企业根据自身的需要,自己建立相关的控制,但是需要相应的书面说明,说明可以放在适用性声明(SOA)中。
  6. 企业在实施本条款时,应参照附录A建立书面的适用性声明(SOA),以对比企业选择的风险控制与附录A要求的控制是否存在出入,是否有漏掉必要的控制。如果附录A中的一些控制措施,对企业处置信息安全风险暂时是不必要的,可以选择不适用,在适用性声明(SOA)中声明,并说明不适用的理由。
  7. 信息安全风险处置程序,还应明确风险处置计划的编制,风险处置措施的制定,风险处置措施的实施等,需要有书面的记录。
  8. 信息安全风险处置程序还要明确,风险处置计划的批准和残余风险的审批流程,一般残余风险要求企业的做高管理者签字接受风险。

实施本条款应输出的文档

  1. 《信息安全风险处置程序》。
  2. 《适用性声明(SOA)》。

本条款审核要点

  1. 是否按照条款要求,建立书面的《信息安全风险处置程序》;
  2. 《信息安全风险处置程序》是否明确风险处置方式和风险处置准则;
  3. 是否建立书面的《适用性声明(SOA)》,《适用性声明(SOA)》是否有删减条款,删减是否合理;
  4. 《信息安全风险处置程序》是否有对残余风险做出明确的要求,如接受残余风险需要谁签字批准;
  5. 风险处置计划是如何制定的。

ISO/IEC 27001:2013标准解读(12)正文 6 规划/6.1 应对风险和机会的措施/6.1.3 信息安全风险处置