用户投稿二、条文8.2 资讯安全风险评鉴
第六章所述述的风险评估方法和技术必须应用于组织ISMS範围内的所有流程、资产、资讯和活动,由于风险不是一成不变的,因此必须以适当的频率审查这些评估的结果。通常至少每年一次,或者如果评估确定存在一个或多个重大风险,则更频繁。例如以下情况,也应执行风险审查:
•完成风险处理措施后
•法规命令变更
•协议或合约变更
•新的专案
•组织的资产、资讯、基础设施或流程有所变化
•确定新的风险产生
•依据经验或新资讯,已识别风险的可能性和后果已改变
三、条文8.3 资讯安全风险处理
由6.1.3所决定的相关风险处理的选项及作法,经由8.2更新后,组织必须执行这些选项及作法。需要强调的这些控制措施并非做一次就可以,而是要持续执行,经由风险接受的準则去决定是否需要进一步加强控制措施,不要忘记我们在风险识别的时候需要识别现有控制措施,所要识别的正是8.3正在执行的控制措施,再藉由8.2不断更新风险评鉴,决定控制措施,这样才是一个完整的做法,所以8.3就是执行6.1.3的计画,保存其处理的结果,以供后续条文运用或再次执行风险评鉴时的输入。
微信扫一扫打赏
支付宝扫一扫打赏
