6.1.1 Общие положения
При планировании системы менеджмента информационной безопасности организация должна учитывать факторы, указанные в 4.1, и требования, приведенные в 4.2, а также определять подлежащие рассмотрению риски информационной безопасности и возможности организации для:
a) обеспечения уверенности в том, что система менеджмента информационной безопасности способна достичь намеченных результатов;
b) предотвращения или уменьшения нежелательных последствий;
________________
Например, реализации рисков информационной безопасности.
c) обеспечения постоянного улучшения.
________________
Например, уровня информационной безопасности.
Организация должна планировать:
d) действия по рассмотрению данных рисков и возможностей;
e) каким образом:
1) интегрировать и внедрять эти действия в процессы системы менеджмента информационной безопасности;
2) оценивать результативность этих действий.
6.1.2 Оценка рисков информационной безопасности