6.1 Działania odnoszące się do ryzyk i szans

6.1.3 Postępowanie z ryzykiem bezpieczeństwa informacji

Organizacja powinna zdefiniować i stosować proces postępowania z ryzykiem bezpieczeństwa informacji, który obejmuje:

a) wybór odpowiednich opcji postępowania z ryzykiem bezpieczeństwa informacji, uwzględniając wyniki oceny ryzyka;

b) określenie wszystkich zabezpieczeń niezbędnych do wdrożenia wybranych opcji postępowania z ryzykiem;

UWAGA 1: Organizacje mogą projektować zabezpieczenia według własnych potrzeb lub identyfikować je z dowolnego źródła.

c) porównanie określonych zabezpieczeń z Załącznikiem A oraz weryfikację, czy żadne istotne zabezpieczenia nie zostały pominięte;

UWAGA 2: Załącznik A zawiera listę możliwych zabezpieczeń bezpieczeństwa informacji. Użytkownicy tego dokumentu powinni odnieść się do Załącznika A, aby upewnić się, że nie pominięto żadnych istotnych zabezpieczeń.

UWAGA 3: Lista zabezpieczeń w Załączniku A nie jest wyczerpująca i mogą zostać uwzględnione dodatkowe zabezpieczenia bezpieczeństwa informacji.

d) opracowanie Deklaracji Zastosowania, zawierającej:

• niezbędne zabezpieczenia (patrz 6.1.3 b) i c));
• uzasadnienie ich włączenia;
• informację, czy niezbędne zabezpieczenia zostały wdrożone;
• uzasadnienie wykluczenia jakichkolwiek zabezpieczeń z Załącznika A.

e) opracowanie planu postępowania z ryzykiem bezpieczeństwa informacji;

f) uzyskanie zatwierdzenia właścicieli ryzyka dla planu postępowania z ryzykiem bezpieczeństwa informacji oraz akceptację ryzyk rezydualnych.

Organizacja powinna przechowywać udokumentowane informacje dotyczące procesu postępowania z ryzykiem bezpieczeństwa informacji.