信息安全新版标准培训 0810汇编.ppt

6.1.1总则 当规划信息安全管理体系时，组织应考虑4.1中提到的事项和4.2中提到的要求，并确定需要应对的风险和机会，以： 确保信息安全管理体系可达到预期结果； 预防或减少不良影响； 达到持续改进。 组织应规划： 应对这些风险和机会的措施； 如何： 将这些措施整合到信息安全管理体系过程中，并予以实现； 评价这些措施的有效性。 * 6.1.1总则 当规划信息安全管理体系时，组织应考虑4.1中提到的事项和4.2中提到的要求，并确定需要应对的风险和机会，以： 确保信息安全管理体系可达到预期结果； 预防或减少不良影响； 达到持续改进。 组织应规划： 应对这些风险和机会的措施； 如何： 将这些措施整合到信息安全管理体系过程中，并予以实现； 评价这些措施的有效性。 * 6.1.2 信息安全风险评估 组织应定义并应用信息安全风险评估过程，以： 建立并维护信息安全风险准则，包括: 风险接受准则； 信息安全风险评估实施准则。 确保反复的信息安全风险评估产生一致的、有效的和可比较的结果； 识别信息安全风险： 应用信息安全风险评估过程，以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险； 识别风险责任人； 分析信息安全风险： 评估6.1.2 c) 1)中所识别的风险发生后，可能导致的潜在后果； 评估6.1.2 c) 1)中所识别的风险实际发生的可能性； 确定风险级别； 评价信息安全风险： 将风险分析结果与6.1.2 a)中建立的风险准则进行比较； 为风险处置排序已分析风险的优先级。 组织应保留有关信息安全风险评估过程的文件化信息。 * 6.1.2 信息安全风险评估 组织应定义并应用信息安全风险评估过程，以： 建立并维护信息安全风险准则，包括: 风险接受准则； 信息安全风险评估实施准则。 确保反复的信息安全风险评估产生一致的、有效的和可比较的结果； 识别信息安全风险： 应用信息安全风险评估过程，以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险； 识别风险责任人； 分析信息安全风险： 评估6.1.2 c) 1)中所识别的风险发生后，可能导致的潜在后果； 评估6.1.2 c) 1)中所识别的风险实际发生的可能性； 确定风险级别； 评价信息安全风险： 将风险分析结果与6.1.2 a)中建立的风险准则进行比较； 为风险处置排序已分析风险的优先级。 组织应保留有关信息安全风险评估过程的文件化信息。 * 6.1.2 信息安全风险评估 组织应定义并应用信息安全风险评估过程，以： 建立并维护信息安全风险准则，包括: 风险接受准则； 信息安全风险评估实施准则。 确保反复的信息安全风险评估产生一致的、有效的和可比较的结果； 识别信息安全风险： 应用信息安全风险评估过程，以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险； 识别风险责任人； 分析信息安全风险： 评估6.1.2 c) 1)中所识别的风险发生后，可能导致的潜在后果； 评估6.1.2 c) 1)中所识别的风险实际发生的可能性； 确定风险级别； 评价信息安全风险： 将风险分析结果与6.1.2 a)中建立的风险准则进行比较； 为风险处置排序已分析风险的优先级。 组织应保留有关信息安全风险评估过程的文件化信息。 * 6.1.2 信息安全风险评估 组织应定义并应用信息安全风险评估过程，以： 建立并维护信息安全风险准则，包括: 风险接受准则； 信息安全风险评估实施准则。 确保反复的信息安全风险评估产生一致的、有效的和可比较的结果； 识别信息安全风险： 应用信息安全风险评估过程，以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险； 识别风险责任人； 分析信息安全风险： 评估6.1.2 c) 1)中所识别的风险发生后，可能导致的潜在后果； 评估6.1.2 c) 1)中所识别的风险实际发生的可能性； 确定风险级别； 评价信息安全风险： 将风险分析结果与6.1.2 a)中建立的风险准则进行比较； 为风险处置排序已分析风险的优先级。 组织应保留有关信息安全风险评估过程的文件化信息。 * 6.1.2 信息安全风险评估 组织应定义并应用信息安全风险评估过程，以： 建立并维护信息安全风险准则，包括: 风险接受准则； 信息安全风险评估实施准则。 确保反复的信息安全风险评估产生一致的、有效的和可比较的结果； 识别信息安全风险： 应用信息安全风险评估过程，以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险； 识别风险责任人； 分析信息安全风险： 评估6.1.2 c) 1)中所识别的风险发生后，可能导致的潜在后果； 评估6.1.2 c) 1)中所识别的风险实际发生的可能性； 确定风险级别； 评价信息安全风险： 将风险分析结果与6.1.2 a)