1.1应对风险和机遇的行动

1.1.1 一般

在对信息安全管理系统进行规划时，组织应考虑的问题和提到的要求，并确定需要应对的风险和机会；

a)确保信息安全管理系统能够实现其预期结果；

b)防止或减少不受欢迎的影响；

c)实现持续的改进；

d)应对这些风险和机遇的行动；

e)如何；

1)将这些行动纳入其信息安全管理系统流程并加以实施；

2)评估这些行动的有效性。

1.1.2 信息安全风险评估

组织应定义并应用一个信息安全风险评估程序，该程序应：

a)建立和维护信息安全风险标准，其中包括。

1)风险接受标准；

2)执行信息安全风险评估的标准；

b)确保重复的信息安全风险评估产生一致，有效和可比较的结果。

c)识别信息安全风险；

1)应用信息安全风险评估程序，确定与信息安全管理系统范围内的信息的保密性，完整性和可用性损失有关的风险；

2)确定风险所有者；

d)分析信息安全风险。

1)评估中确定的风险发生，将导致的潜在后果实现；

2)评估中确定的风险发生的现实可能性；

3)确定风险水平；

e)对信息安全风险进行评估。

1)将风险分析的结果与确定的风险标准进行比较；2)对所分析的风险进行优先排序，以便进行风险处理。组织应保留有关信息安全风险评估的文件化信息过程；

1.1.3 信息安全风险处理

组织应定义并应用信息安全风险处理流程：

a)选择适当的信息安全风险处理方案，同时考虑到风险评估结果； 

b)确定实施所选择的信息安全风险处理方案所需的所有控制措施；

注1 组织可以根据需要设计控制措施，或从任何来源确定控制措施。

c)将上述确定的控制措施与附件A中的控制措施进行比较，核实没有遗漏任何必要的控制措施；

注2附件A包含一份可能的信息安全控制措施的清单。本文件的使用者是针对附件A，以确保没有忽略必要的信息安全控制。

注3 附件A中所列的信息安全控制措施并非详尽无遗，如有需要，还可包括其他信息安全控制措施。

d)编制一份包含以下内容的适用性声明；

e)制定一个信息安全风险处理计划；

f)获得风险所有者对信息安全风险处理计划的批准和对剩余信息安全风险的接受。组织应保留有关信息安全风险处理的文件化信息过程；

注4 本文件中的信息安全风险评估和处理过程与ISO31000[中提供的原则和通用准则相一致。

1.2 信息安全目标和实现这些目标的规划

该组织应在相关职能部门和级别建立信息安全目标。

信息安全目标应：

a)与信息安全政策相一致；

b)是可衡量的(如果切实可行)；

c)考虑到适用的信息安全要求，以及风险评估和风险处理的结果；

d) 被监测；

e)被告知；

f) 酌情更新；

g)可作为文件信息提供；

组织应保留有关信息安全目标的文件化信息。在计划如何实现其信息安全目标时，该组织应确定。

h)将要做什么；

1.3 变化的规划

当组织确定需要对信息安全管理系。

2支持

2.1资源

组织应确定并提供建立，实施，维护和持续改进信息安全管理系统所需的资源。

2.2 能力该组织应

a)确定在其控制下从事影响其信息安全绩效的工作的人员的必要能力；

b)确保这些人在适当的教育，培训或经验的基础上胜任；

c)在适用的情况下，采取行动以获得必要的能力，并评估所采取行动的有效性；

d)保留适当的文件资料作为能力的证明；

注意适用的行动可以包括，例如：为现有雇员提供培训，指导或重新分配：或雇用或签约合格人员。

2.3认识

在组织控制下从事工作的人应了解。 

a)信息安全政策；

b)他们对信息安全管理系统的有效性的贡献，包括改进信息安全性能的好处；

c)不符合信息安全管理系统要求的影响；

2.4 沟通

组织应确定与信息安全管理系统有关的内部和外部沟通的需求，包括：

a)关于沟通的内容；

b)何时沟通； 

c)与谁沟通； 

d) 如何沟通；

2.5记录的信息

2.5.1一般

该组织的信息安全管理系统应包括。 

a)本文件所要求的文件信息；

b)由组织确定为信息安全管理系统有效性所必需的文件化信息。

注意 信息安全管理系统的文件化信息的范围可能因不同的组织而不同；

1)组织的规模及其活动，流程，产品和服务的类型；

2)过程的复杂性和它们之间的相互作用；

3)人的能力；

2.5.2创建和更新

在创建和更新记录的信息时，组织应确保适当的。 a)识别和描述(如标题，日期，作者或参考号)；

b)格式(如语言，软件版本，图形)和媒体(如纸张，电子)；

c)审查和批准是否合适和充分；

2.5.3 对文件资料的控制

信息安全管理系统和本文件所要求的文件化信息应得到控制，以确保。 

a)在需要的地方和时间，它是可用的和适合使用的；

b)它得到充分的保护(例如，防止失去保密性，不当使用或失去完整性).对于文件化信息的控制，组织应酌情处理以下活动； 

c)分发，访问，检索和使用； 

d)储存和保存，包括保存可读性；

e)对变化的控制(如版本控制)；

f)保留和处置；

对于组织确定为信息安全管理系统的规划和运行所必需的外部来源的文件信息，应酌情予以识别和控制。

注意访问权可以意味着关于只查看文件信息的权限，或查看和改变文件信息的权限和权力等的决定。