a) Risk değerlendirme sonuçlarını dikkate alarak uygun bilgi güvenliği risk işleme seçeneklerinin seçilmesi,
b) Seçilen bilgi güvenliği risk işleme seçeneklerinin uygulanmasında gerekli olan tüm kontrollerin belirlenmesi,
Not - Kuruluşlar, gerektiğince kontroller tasarlayabilir veya herhangi bir kaynaktan belirleyebilir.
c) Yukarıdaki Madde 6.1.3b) de belirlenen kontroller ile Ek A daki kontrollerin karşılaştırılması ve gerekli hiçbir kontrolün gözden kaçırılmadığının doğrulanması,
Not 1 - Ek A geniş kapsamlı bir kontrol amaçları ve kontroller listesi içermektedir. Bu standardın kullanıcıları, hiçbir gerekli kontrolün gözden kaçırılmaması için Ek A ya yönlendirilirler.
Not 2 - Seçilen kontroller kontrol amaçlarını dolaylı olarak içermektedir. Ek A da listelenen kontrol amaçları ve kontroller eksiksiz değildir ve ilave kontrol amaçları ve kontrollere ihtiyaç duyulabilir.
d) Gerekli kontrolleri (Bk. Madde 6.1.3b) ve c)), bunların dahil edilmesinin gerekçelendirmesi, uygulanıp uygulanmadıklarını ve Ek A dan kontrollerin dışarıda bırakılmasının gerekçelendirmesini içeren bir Uygulanabilirlik Bildirgesi üretilmesi,
e) Bir bilgi güvenliği risk işleme planının formüle edilmesi ve
f) Bilgi güvenliği risk işleme planına dair risk sahiplerinin onayının alınması ve artık bilgi güvenliği risklerinin kabulü.
Kuruluş, bilgi güvenliği risk işleme süreci ile ilgili yazılı bilgileri muhafaza etmelidir.
Not - Bu standardtaki bilgi güvenliği risk değerlendirme ve işleme süreci ISO 31000[5] de verilen ilkeler ve genel kılavuzlarla eş güdümlüdür.
Hiç yorum yok:
Write yorum