Standard Podcast [3:24m]: Hide Player | Play in Popup | Download

ISO 27001第4.2.2.a及ISO 27002条文4.2中要求组织“明确风险处置计划,它为信息安全风险管理指出了适当的管理措施、资源、职责和优先级”。这一条文和详细处理管理责任细节 的条文5有交叉引用。风险处置计划一定要得到记录,它应该被设置于组织的信息安全政策方面,应明确识别该组织的风险应对方法,以及接受风险的准则。当有风 险应对框架时,这个准则应当和信息安全管理标准的要求相一致。

标准的第4.2.2.a及第5条文都要求风险应对计划需要得到正式的定义和描述,它应该包含高优先级的信息安全行动。角色与职责的描述、操作流程的详情、日后的检视及更新等都应该得到正式的定义和分配。

记录风险处理计划

风险处理计划的核心是一个详细的时间表,它显示出,对于每一项确定的风险,该组织决定如何对待它,哪些控制已经到位,哪些额外的控制被认为是必要 的,以及实施它们的时间框架。对每项风险,可接受的风险程度需要得到确定,同样要确定可将风险置于一个可接受水平的风险处理选项。

风险处置计划和风险评估计划相关联,详细的情况在前面风险评估章节中有讲到,目的是为了识别和设计恰当的控制措施,以及如在适用性声明中所描述的那 样,部署、测试和改进董事会设定的风险管理方法。这一计划也应确保有足够的经费和实施资源来部署选定的控制措施,并应列清楚它们具体是什么,有哪些。

风险处理计划也应确定执行和持续改进它所必需的个人能力和广泛的培训和宣传。

风险处理计划和PDCA方法

风险处理计划是同ISMS的PDCA循环中所有四个阶段联系起来的关键文件计划。它是一种高层次的,记录在案的关于谁负责交付哪些风险管理目标、如何实现、要用到哪些资源,以及如何评估和改进它们。

0