6.1 Działania odnoszące się do ryzyk i szans
6.1.1 Postanowienia ogólne
Podczas planowania systemu zarządzania bezpieczeństwem informacji organizacja powinna uwzględnić czynniki określone w punkcie 4.1 oraz wymagania określone w punkcie 4.2, a następnie określić ryzyka i szanse, które należy uwzględnić w celu:
a) zapewnienia, że system zarządzania bezpieczeństwem informacji osiągnie zamierzone rezultaty;
b) zapobiegania lub ograniczenia niepożądanych skutków;
c) osiągnięcia ciągłego doskonalenia.
Organizacja powinna zaplanować:
d) działania mające na celu odniesienie się do tych ryzyk i szans;
e) sposób:
- integracji i wdrożenia tych działań w procesach systemu zarządzania bezpieczeństwem informacji;
- oceny skuteczności tych działań.