組織應(yīng)識別風(fēng)險，識別ISMS范圍內(nèi)的重要資產(chǎn)及其責(zé)任人，識別重要資產(chǎn)所面臨的威脅，識別可能被威脅利用的脆弱性，識別現(xiàn)有安全控制措施，識別喪失保密性、完整性和可用性可能對資產(chǎn)造成的影響。

分析和評價風(fēng)險，在考慮喪失資產(chǎn)的保密性、完整性和可用性所造成的后果的情況下，

評估安全失效可能造成的對組織的影響；根據(jù)主要的威脅和脆弱性、對資產(chǎn)的影響以及當(dāng)前所實施的控制措施，評估安全失效發(fā)生的現(xiàn)實可能性；估計風(fēng)險的級別；確定風(fēng)險是否可接受，或者是否需要使用既定的可接受風(fēng)險級別的準(zhǔn)則進(jìn)行處理。

組織應(yīng)識別和評價風(fēng)險處置的可選措施，可能的措施包括：采用適當(dāng)?shù)目刂拼胧┫L(fēng)險或減輕風(fēng)險；在明顯滿足組織方針策略和可接受風(fēng)險的準(zhǔn)則的條件下，有意識地、客觀地接受風(fēng)險；避免風(fēng)險；將相關(guān)業(yè)務(wù)風(fēng)險轉(zhuǎn)移到其他方，如：保險，供應(yīng)商等。

組織應(yīng)為處理風(fēng)險選擇控制目標(biāo)和控制措施。控制目標(biāo)和控制措施應(yīng)加以選擇和實施， 以滿足風(fēng)險評估和風(fēng)險處置過程中所識別的要求。這種選擇應(yīng)考慮可接受風(fēng)險的準(zhǔn)則以及法律法規(guī)和合同要求。IS02700l附錄A中選擇控制目標(biāo)和控制措施應(yīng)成為此過程的一部分，該過程適合于滿足這些已識別的要求。附錄A所列的控制目標(biāo)和控制措施并不是所有的控制目標(biāo)和控制措施，組織也可以根據(jù)風(fēng)險評估的結(jié)果和相關(guān)專家建議選擇額外的控制目標(biāo)和控制措施。

組織應(yīng)獲得管理者對建議的殘余風(fēng)險的批準(zhǔn)，獲得管理者對實施和運(yùn)行ISMS的授權(quán)。

組織應(yīng)準(zhǔn)備適用性聲明（Statement of Applicahility，SoA），SoA應(yīng)包含以下幾方面：

1）選擇的控制目標(biāo)和控制措施，以及選擇的理由；2）當(dāng)前實施的控制目標(biāo)和控制措施；3）對IS0 27001附錄A中任何控制目標(biāo)和控制措施的刪減，以及刪減的合理性說明。適用性聲明提供了一份關(guān)手風(fēng)險處置決定的綜述。刪減的合理性說明提供交叉檢查，以證明不會因疏忽而遺漏控制措施。