9 确定适用的控制目标和措施

接下来，对于你认为无法承受的风险，你必须采取以下行动之一：

• 决定接受风险。例如，采取行动是不可能的，因为它们超出了你的控制能力（如自然灾害）或太昂贵。
• 风险转移。例如，购买保险，将活动分包，以便将风险转移给分包商，等等。
• 通过控制将风险降低到可接受的水平。

为了降低风险，您应该评估和确定适当的控制措施。这些控制措施可能是您的组织已经实施的控制措施，或者 ISO/IEC 27002 标准中定义的控制措施。

（注意：对照标准检查您已经到位的控制，然后使用结果来确定缺少哪些控制，这通常被称为“差距分析”。)

输入

• ISO/IEC 27001 附录 A，本附录总结了您可能想要选择的控制。
• ISO/IEC 27002，它提供了关于 ISO/IEC 27001 中总结的控制的更详细的信息。
• 现有公司的控制措施。

输出

通过完成这一步，你应该输出两个文档：

• 风险处理计划
• 适用性声明

《风险处理计划》记录了以下内容：

• 为处理每种风险所选择的方法（接受、转移、减少）
• 哪些控制措施已经到位
• 拟议的其他控制措施
• 拟议的控制措施实施的时间框架

适用性声明记录了从附录 A 中选择的控制目标和控制措施。

适用性声明通常是一个很大的表格，其中列出了 ISO/IEC 27001 附件A中的每一项控制的描述和相应的列，说明该控制是否被组织采用，采用或不采用该控制的理由，以及对组织使用该控制的程序被记录的位置的参考。

实用性生命可以是风险评估文档的一部分；但通常它是一个独立的文档，因为它很长，并且在标准中被列为必需的文档。

有关创建风险处理计划和适用性声明的其他帮助，请参阅下面的两组案例。

案例

还记得您在前面的步骤中使用了一个表么？您的风险处理计划的控制分析部分可以填写在“控制 ”和“控制是否足够？”列，如下表所示。注意：任何您转移给他人的风险或您选择接受的风险也应记录在您的处理计划中。

CIA – Confidentiality 机密性、Integrity 完整性、Availability 可用性

剩余的风险处理计划需求可以通过继续完善这个表来满足，并通过解释用于处理风险的方法和其中实施控制的风险评估方法文档的框架来满足，就像您在第前面中创建的那样。

修改后的文档内容可能如下所示：

目录

• 介绍
• 准备
  • 范围和边界
  • 安全目标和安全需求
  • 可接受的风险
    • 主要漏洞描述
    • 主要威胁描述
    • 剩余风险
• 不确定性分析
  • 假设
  • 外部依赖关系
• 改进计划
  • 控制的有效性
  • 计划控制
  • 剩余风险评估
• 关键和定义
  • 风险值颜色量表
  • 关键术语（如资产、风险、威胁、漏洞、信息、数据、控制）的定义
• 资产评估风险识别、控制分析（风险评估表）
• 适用性声明（可以是一个指向单独文档中的详细表的摘要）
  • 选择控制措施的合理性
  • 排除控制措施的合理性

适用性陈述举例：

以下是适用性声明文档的节选。“参考”列用来记录与控制实施相关的政策陈述或详细程序被记录的位置。

在本例中，“参考”列中的两项是不完整的，因为在此步骤中，您可能没有针对所有控制措施的完整策略和过程集。下一步处理其他过程的创建，以便您可以完成适用性声明。