ISO/IEC 27001:2013标准解读(11)正文 6 规划/6.1 应对风险和机会的措施/6.1.2 信息安全风险评估
来源:
|
作者:yihongqg
|
发布时间: 2021-02-25
|
939 次浏览量
|
分享到:
|
ISO/IEC 27001:2013标准 正文 6 规划/6.1 应对风险和机会的措施/6.1.2 信息安全风险评估 |
6.1.2 信息安全风险评估
组织应定义并应用风险评估过程,以:
a) 建立并保持信息安全风险准则,包括:
1) 风险接受准则;
2) 执行信息安全风险评估的准则;
b) 确保重复性的信息安全风险评估可产生一致的、有效的和可比较的结果;
c) 识别信息安全风险:
1) 应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性的相关风险;
2) 识别风险负责人;
组织应定义并应用风险评估过程,以:
d) 分析信息安全风险:
1) 评估6.1.2 c)1)中所识别风险发生后将导致的潜在影响;
2) 评估6.1.2 c)1)中所识别风险发生的现实可能性;
3) 确定风险级别;
e) 评价信息安全风险;
1) 将风险分析结果同6.1.2 a)建立的风险准则进行比较;
2) 为实施风险处置确定已分析风险的优先级。
组织应定义并应用风险评估过程,以:
组织应保留信息安全风险评估过程的文件记录信息。 |
