：a建立和维护信息安全风险的标准，包括风险接受准则b决定执行的信息安全风险评估的标准c）确保重复使用信息安全风险评估过程能产生一致的，有效的和可比较的结果。本公司应：d）识别信息安全的风险。1）应用信息安全风险评估过程，以识别ISMS范围内的信息保密性，完整性和可用性的损失风险。2）识别风险的所有者。e）分析信息安全风险。1）评估611e）1）实现后潜在的后果。2）评估611e）1）实现的可能性。3）确定风险等级。f）评估信息安全风险。1）用612a）建立的风险标准比较风险分析结果，并建立优先级。本公司应保留的信息安全风险评估过程中的文档化信息。
613信息安全风险处置
本公司应采用信息安全风险处置过程：a选择适当的信息安全风险处理方法，考虑风险评估的结果b确定所有实施的信息安全风险处置措施是必要的注：本公司可以设计所需的控制项，或从任何来源中识别它们。c）比较613b中与附件A中的控制项，并确认已省略没有必要的控制项注1：附件A中包含控制目标和控制项的完整列表。本国际标准的用户应注意附件A，以确保没有重要的控制项被忽略注2：控制目标是隐含在所选择的控制项中。附件A所列的控制目标和控制项并不详尽，可能还需要额外的控制目标和控制项。
6
f信息安全管理体系手册
d）制作一个包含必要的控制项（见613），B和C））和包含理由的适用性声明，无论实施与否，并应包含删减附件A中控制项的理由e）制定信息安全风险处置计划f）风险处置方案和残余风险应得到风险负责人的批准。本公司应保留信息安全风险的处理过程中的文档化信息。注意：信息安全风险评估和处置过程与国际标准ISO31000规定的原则和通用的准则相一致。
62可实现的信息安全目标和计划
本公司应建立相关职能和层次的信息安全目标。信息安全目标应：a与信息安全方针一致b是可衡量的（如果可行）c）考虑到适用的信息安全要求，以及风险评估和处置结果d）是可沟通的e）能适时更新。本公司应保留信息安全目标相关的文档化信息。当计划如何实现信息安全目标时，本公司应确定：f）做什么g）需要哪些资源h）谁负责i）何时完成j）如何评估结果。
7支持
71资源
本公司应确定并提供信息安全管理体系的建立，实施，维护和持续改进所需的资源。
7
f信息安全管理体系手册
72能力
r