ГОСТ Р ИСО/МЭК 27001-2021 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (Переиздание)

     6.1 Действия по рассмотрению рисков и возможностей

6.1.1 Общие положения

При планировании системы менеджмента информационной безопасности организация должна учитывать факторы, указанные в 4.1, и требования, приведенные в 4.2, а также определять подлежащие рассмотрению риски информационной безопасности и возможности организации для:

a) обеспечения уверенности в том, что система менеджмента информационной безопасности способна достичь намеченных результатов;

b) предотвращения или уменьшения нежелательных последствий;

________________

Например, реализации рисков информационной безопасности.

c) обеспечения постоянного улучшения.

________________

Например, уровня информационной безопасности.

Организация должна планировать:

d) действия по рассмотрению данных рисков и возможностей;

e) каким образом:

1) интегрировать и внедрять эти действия в процессы системы менеджмента информационной безопасности;

2) оценивать результативность этих действий.

6.1.2 Оценка рисков информационной безопасности