ISO/IEC 27001: 2022 标准详解与实施（第2版）09，6.1.1 总则

点击上方蓝色字“Sky的安全观”关注我们

资料交流，请私“加群”

>>ISO系列标准解读合集<<

new!

>>更多精彩合集，敬请期待<<

6 策划/6.1 应对风险和机会的措施/6.1.1 总则

6.1.1 总则

当策划信息安全管理体系时，组织应考虑 4.1 中提到的事项和 4.2 中提到的要求，并确定需要应对的风险和机会，以：

a) 确保信息安全管理体系可达到预期结果；

b) 预防或减少不良影响；

c) 达到持续改进。

组织应策划：

d) 应对这些风险和机会的措施；以及

e) 如何：

1) 将这些措施整合到信息安全管理体系过程中,并予以实现；以及

2) 评价这些措施的有效性。

【新版变化】

新版6.1.1有轻微变化，本质上来说，实施要求是没变化的，删除了b)句尾的“and”。

【标准理解】

（1）ISO/IEC 27001风险管理体系是和IATF 16949一样的，包含了三个层面的风险管理，即决策层面的风险管理（涉及ISO/IEC 27001条款4.1，条款4.2，条款6.1.1以及条款7.1），执行层面的风险管理（涉及ISO/IEC 27001条款6.1.2，条款6.1.3，条款8.2以及条款8.3），以及项目层面的风险管理（涉及ISO/IEC 27001附录A.5.8）；

（2）组织应根据本条款的要求，识别4.1和4.2输出的内外因素清单和相关方要求涉及的风险和机遇，并制定相应的应对措施；

（3）应对措施需要整合到信息安全管理体系的各个过程之中，并在适合的二阶文件中明确这些措施；

（4）组织应定期对这些风险和机遇应对措施的有效性进行评价；

（5）组织应根据这些风险和机遇应对措施，规划信息安全管理体系所需资源（条款7.1的要求）。

备注1：本系列所有ISO/IEC 27001: 2022条款讲解均可以通过以下网址查看相对应讲解的视频：https://video.27001.cn/course-3.html

【行动要点】

（1）建立风险和机遇管理过程（如图十四）；

（2）形成书面的《风险和机遇管理流程》或《风险和机遇管理程序》；

（3）按照《风险和机遇管理流程》，对风险和机遇进行识别，提出应对措施，并制定措施的实现方案（整合到相应的过程和二阶文件之中）；

（4）定期对应对措施的有效性进行评价。

备注2：本系列讲解对应的过程乌龟图，以及输出的表单记录（示例），将在即将出版的书籍《ISO/IEC 27001： 2022标准详解与实施》中呈现。

备注3：本系列讲解的配套文件（包含一阶文件，二阶文件，三阶文件，以及四阶文件），所有文件均是独家全新编写的，企业付费（暂不接受个人付费）可以获取，请见。