五、选择控制措施一旦安全要求和风险已被识别并已做出风险处理决定,则应选择并实现合适的控制措施,以确保风险降低到可接受的级别。控制措施可以从《信息安全管理适用规则》或其他控制措施集合中选择,或者当合适时设计新的控制措施以满足特定需求。安全控制措施的选择依赖于组织所做出的决定,该决定是基于组织所应用的风险接受准则、风险处理选项和通用的风险管理方法,同时还要遵守所有相关的国家和国际法律法规。《信息安全管理适用规则》中的某些控制措施可被当作信息安全管理的指导原则,并且可用于大多数组织。
更新时间:2016/11/9 9:18:17