本文目录

9 确定适用的控制目标和措施

接下来，对于你认为无法承受的风险，你必须采取以下行动之一：

决定接受风险。例如，采取行动是不可能的，因为它们超出了你的控制能力（如自然灾害）或太昂贵。
风险转移。例如，购买保险，将活动分包，以便将风险转移给分包商，等等。
通过控制将风险降低到可接受的水平。

为了降低风险，您应该评估和确定适当的控制措施。这些控制措施可能是您的组织已经实施的控制措施，或者 ISO/IEC 27002 标准中定义的控制措施。

（注意：对照标准检查您已经到位的控制，然后使用结果来确定缺少哪些控制，这通常被称为“差距分析”。)

输入

ISO/IEC 27001 附录 A，本附录总结了您可能想要选择的控制。
ISO/IEC 27002，它提供了关于 ISO/IEC 27001 中总结的控制的更详细的信息。
现有公司的控制措施。

输出

通过完成这一步，你应该输出两个文档：

风险处理计划
适用性声明

《风险处理计划》记录了以下内容：

为处理每种风险所选择的方法（接受、转移、减少）
哪些控制措施已经到位
拟议的其他控制措施
拟议的控制措施实施的时间框架

适用性声明记录了从附录 A 中选择的控制目标和控制措施。

适用性声明通常是一个很大的表格，其中列出了 ISO/IEC 27001 附件A中的每一项控制的描述和相应的列，说明该控制是否被组织采用，采用或不采用该控制的理由，以及对组织使用该控制的程序被记录的位置的参考。

实用性生命可以是风险评估文档的一部分；但通常它是一个独立的文档，因为它很长，并且在标准中被列为必需的文档。

有关创建风险处理计划和适用性声明的其他帮助，请参阅下面的两组案例。

案例

还记得您在前面的步骤中使用了一个表么？您的风险处理计划的控制分析部分可以填写在“控制 ”和“控制是否足够？”列，如下表所示。注意：任何您转移给他人的风险或您选择接受的风险也应记录在您的处理计划中。

资产	明细	所有者	位置	CIA说明	替代价值	风险总结	风险值	控制	控制是否足够？
战略信息	中长时期的计划	CEO	CEO 电脑	C：高 I：高 A：中	高	信息泄露（给予第三方优势)）	高	15.1.1	是
项目计划	短周期的计划	CEO	CEO 电脑	C：高 I：高 A：低	中	信息泄露（给予竞争对手优势）；可能会失去生意	中	15.1.1	是
人力资源文档	员工记录	公司管理层	HR 团队	C：高 I：高 A：低	中	个人信息泄露	中	无; 人力资源活动和文件管理外包；	是

CIA - Confidentiality 机密性、Integrity 完整性、Availability 可用性

剩余的风险处理计划需求可以通过继续完善这个表来满足，并通过解释用于处理风险的方法和其中实施控制的风险评估方法文档的框架来满足，就像您在第前面中创建的那样。

修改后的文档内容可能如下所示：

目录
介绍
准备
范围和边界
安全目标和安全需求
可接受的风险
主要漏洞描述
主要威胁描述
剩余风险
不确定性分析
假设
外部依赖关系
改进计划
控制的有效性
计划控制
剩余风险评估
关键和定义
风险值颜色量表
关键术语（如资产、风险、威胁、漏洞、信息、数据、控制）的定义
资产评估风险识别、控制分析（风险评估表）
适用性声明（可以是一个指向单独文档中的详细表的摘要）
选择控制措施的合理性
排除控制措施的合理性

适用性陈述举例：

以下是适用性声明文档的节选。“参考”列用来记录与控制实施相关的政策陈述或详细程序被记录的位置。

在本例中，“参考”列中的两项是不完整的，因为在此步骤中，您可能没有针对所有控制措施的完整策略和过程集。下一步处理其他过程的创建，以便您可以完成适用性声明。

控制项	标题	是否适用	适用性声明	参考
5	安全政策
5.1	信息安全政策		提供信息安全的管理方向和支持
5.1.1	信息安全政策文档	是	在新员工入职第一天提供信息安全培训	公司安全手册
5.1.2	信息安全政策审查	是	信息安全政策应该定期被管理层审查	角色和职责定义文档
6	组织信息安全
6.1	内部组织
6.1.1	信息安全管理层承诺	是	管理层承诺在信息安全政策中被记录	公司信息安全政策
6.1.2	信息安全协调	是	通过信息安全组织、培训、每天的工作来协调	TBD - 安全流程
6.1.3	信息安全责任归属	是	信息安全责任归属被详细定义	TBD - 安全流程公司安全手册

最近更新于 2022-05-22，由 猿小六 于 2022-05-22 发布，已阅 1134 次。