【前14篇免费】ISO/IEC 27701: 2019 标准详解与实施（17）5.4.1.3 信息安全风险处置

点击上方蓝色字“Sky的安全观”关注我们

加粉丝群，请私信“加群”获取二维码

>>ISO系列标准解读合集<<

new!

>>更多精彩合集，敬请期待<<

5 PIMS-specific requirements related to ISO/IEC 27001 与ISO/IEC 27001相关的隐私信息管理体系（PIMS）的特定要求/5.4 Planning 策划/5.4.1 Actions to address risks and opportunities 应对风险和机会的措施/5.4.1.3 Information security risk treatment 信息安全风险处置

5.4.1.3 Information security risk treatment 信息安全风险处置

The requirements stated in ISO/IEC 27001:2013, 6.1.3 apply with the following additions:ISO/IEC 27001:2013, 6.1.3陈述的要求和以下附加的要求适用：ISO/IEC 27001:2013, 6.1.3 c) is refined as follows:ISO/IEC 27001:2013, 6.1.3 c)被改进为如下：The controls determined in ISO/IEC 27001:2013 6.1.3 b) shall be compared with the controls in Annex A and/or Annex B and ISO/IEC 27001:2013, Annex A to verify that no necessary controls have been omitted.应将ISO/IEC 27001:2013 6.1.3b)确定的控制与附录A和/或附录B，以及ISO/IEC 27001:2013, 附录A中的控制项进行比较，以便验证没有忽略必要的控制。When assessing the applicability of control objectives and controls from ISO/IEC 27001:2013 Annex A for the treatment of risks, the control objectives and controls shall be considered in the context of both risks to information security as well as risks related to the processing of PII, including risks to PII principals.当评估风险处置的控制目标和控制项（来自ISO/IEC 27001:2013 附录A）的适用性时，这些控制目标和控制项应是同时基于信息安全风险和个人身份信息（PII）处理的相关风险（包括对个人身份信息（PII）主体的风险）的环境下被考虑的。ISO/IEC 27001:2013, 6.1.3 d) is refined as follows:ISO/IEC 27001:2013, 6.1.3 d)被改进为如下：Produce a Statement of Applicability that contains:制定适用性声明（SOA），包含：— the necessary controls [see ISO/IEC 27001:2013, 6.1.3 b) and c)];— 必要的控制项（见ISO/IEC 27001:2013, 6.1.3 b) 和c)）；— justification for their inclusion;— 其选择的合理性说明；— whether the necessary controls are implemented or not; and— 无论必要的控制项是否已实施；— the justification for excluding any of the controls in Annex A and/or Annex B and ISO/IEC 27001:2013, Annex A according to the organization's determination of its role (see 5.2.1).— 根据组织对其定位的角色（见5.2.1）作出的对附录A 和/或附录B，以及ISO/IEC 27001:2013, 附录A的控制项的删减的合理性说明。Not all the control objectives and controls listed in the annexes need to be included in a PIMS implementation. Justification for exclusion can include where the controls are not deemed necessary by the risk assessment, and where they are not required by (or are subject to exceptions under) the legislation and/or regulation including those applicable to the PII principal.并非所有在附录中列出的控制目标和控制项都必须在隐私信息管理体系（PIMS）实施中被包含。排除的理由可以包括风险评估认为不需要的控制项，以及法律和/或法规（包括适用于个人身份信息（PII）主体的法律和/或法规）不要求（或有明确例外）的控制项。

ISO/IEC 27001:2013, 6.1.3 信息安全风险处置

6.1.3 信息安全风险处置

组织应定义并应用信息安全风险处置过程,以:a) 在考虑风险评估结果的基础上,选择适合的信息安全风险处置选项;b) 确定实现已选的信息安全风险处置选项所必需的所有控制;注1:当需要时,组织可设计控制,或识别来自任何来源的控制。c) 将6.1.3b)确定的控制与附录 A 中的控制进行比较,并验证没有忽略必要的控制;注2:附录 A 包含了控制目标和控制的综合列表。本标准用户可在附录 A 的指导下,确保没有遗漏必要的控制。注3:控制目标隐含在所选择的控制内。附录 A 所列的控制目标和控制并不是完备的,可能需要额外的控制目标和控制。d) 制定一个适用性声明,包含必要的控制[见6.1.3b)和c)]及其选择的合理性说明(无论该控制是否已实现),以及对附录 A 控制删减的合理性说明;e) 制定正式的信息安全风险处置计划;f) 获得风险责任人对信息安全风险处置计划以及对信息安全残余风险的接受的批准。组织应保留有关信息安全风险处置过程的文件化信息。注4:本标准中的信息安全风险评估和处置过程与ISO31000中给出的原则和通用指南相匹配。

【标准理解】

（1）本条款（5.4.1.3）是以ISO/IEC 27001: 2013中的“6.1.3 信息安全风险处置”为内核，没有额外的附加要求，但ISO/IEC 27701: 2019有对“ISO/IEC 27001: 2013，6.1.3 c) 和6.1.3 d) ”进行了改进，在实施ISO/IEC 27701: 2019时，需要满足ISO/IEC 27001: 2013中的“6.1.3 信息安全风险处置”要求，本条款中的改进后的要求，以及5.1中的通用扩展要求。