Information technology — Security techniques — Information security management systems — Requirements- Planning
信息安全管理體系要求-規(guī)劃

5  Planning
5 規(guī)劃
5.1 Actions to address risks and opportunities 
5.1  應對風險和機會的措施
5.1.1      General
5.1.1   總則
When planning for the information security  management  system,  the  organization  shall  consider  the issues referred to in 4.1 and the requirements referred to in 4.2 and determine the risks and opportunities that need to be addressed to:
當規(guī)劃信息安全管理體系時，組織應考慮中提及的問題和中提及的要求，確定需要應對的風險和機會，以：
a)   ensure the information security management system can achieve its intended outcome(s);
b)   prevent, or reduce, undesired effects;
c) achieve continual improvement. The organization shall plan:
d)   actions to address these risks and opportunities; and
e)   how to
1)   integrate and implement the actions into its information security management system  processes; and
2)   evaluate the effectiveness of these actions.
a)   確保信息安全管理體系能實現(xiàn)其預期結果；
b)   防止或減少意外的影響；
c) 實現(xiàn)持續(xù)改進。 組織應規(guī)劃：
d)   應對這些風險和機會的措施；
e)   如何
1)   整合和實施這些措施并將其納入信息安全管理體系過程；
2)   評價這些措施的有效性。
5.1.2      Information security risk assessment 
5.1.2    信息安全風險評估
The organization shall define and apply an information security risk assessment process that:
組織應定義并應用風險評估過程，以：
a)   establishes and maintains information security risk criteria that include:
1)   the risk acceptance criteria; and
2)   criteria for performing information security risk assessments;
b)   ensures that repeated information security risk assessments produce consistent, valid and comparable results;
c) identifies the information security risks:
1)   apply the information security risk  assessment  process  to  identify  risks  associated  with the loss of confidentiality, integrity and availability for information within the scope of the information security management system; and
2)   identify the risk owners;
d)   analyses the information security risks:
1)   assess the potential consequences that would result if the risks identified in 6.1.2 c) 1) were to materialize;
2)   assess the realistic likelihood of the occurrence of the risks identified in 6.1.2 c) 1); and
3)   determine the levels of risk;
e)   evaluates the information security risks:
1)   compare the results of risk analysis with the risk criteria established in 6.1.2 a); and
2)   prioritize the analysed risks for risk treatment.
a)   建立并保持信息安全風險準則，包括：
1)   風險接受準則；
2)   執(zhí)行信息安全風險評估的準則；
b)   確保重復性的信息安全風險評估可產(chǎn)生一致的、有效的和可比較的結果；
c) 識別信息安全風險：
1)   應用信息安全風險評估過程來識別信息安全管理體系范圍內(nèi)的信息喪失保密性、完整 性和可用性的相關風險；
2)   識別風險負責人；
d)   分析信息安全風險：
1)   評估  c）1）中所識別風險發(fā)生后將導致的潛在影響；
2)   評估  c）1）中所識別風險發(fā)生的現(xiàn)實可能性；
3)   確定風險級別；
e)   評價信息安全風險；
1)   將風險分析結果同 a）建立的風險準則進行比較；
2)   為實施風險處置確定已分析風險的優(yōu)先級。
The organization shall retain documented information about the information security risk assessment process.
組織應保留信息安全風險評估過程的文件記錄信息.

溫馨提示：獲取完整版ISO27001最新2022版中英文對照資料，可咨詢中培課程顧問或撥打客服電話了解18513851518