从规划到行动：关于条款 8 实施的见解

8.1 运行规划和控制

我们从 8.1 运行规划和控制开始。

本条款的主要内容是，您需要实施必要的措施来满足信息安全要求。这些控制措施是你在 ISMS 规划中确定的。

您还需要能够证明，您正在采取措施实现您设定的目标。

证明你正在达到这些要求的最好方法之一就是记录。例如，如果你说要实施一项控制措施，要求每月审查一次并签字确认，那么你就应该能够出示以下证据：

• 结果报告
• 签字表
• 日志等

您需要考虑如何处理变更。这包括计划内或意料之外的变化。 每个人都知道，有时事情就这么发生了。没关系，重要的是接下来会发生什么。

要达到标准，您必须

• 能够证明您已经识别出变更可能对系统造成的任何影响、
• 你已经采取了一些措施来帮助减少任何影响。

当然，这些都必须记录在案，以便有据可查！

如何做到这一点？

根据我们的经验，最常见的方法是客户在 ISMS 手册中创建章节，重点介绍业务流程的操作方面。这样做时，应确保您的程序和政策与 27001 标准中确定的行动和控制措施相一致。我们之前关于第 6 条的博客：风险、机遇、目标和计划的博客中提供了相关建议。

然后，您需要证明您正在做您所说的事情。 为此，您应该创建记录。使用事件管理产品或日历来提醒您计划进行的审查、会议、审核等，然后在文档管理系统中为每次会议/事件创建文件夹或其他位置，以保存和存储这些事件的证据。 这样，您就可以回顾几个月来的管理评审会议记录或备份日志。 这是一种非常简单的方法，可以快速识别出哪些地方出现了问题，并做出必要的更改，以满足 ISMS 的要求。还有一个额外的好处是，在进行 ISMS 审核时，所有内容都将集中在一个地方！

8.2 信息安全风险评估

接下来是第 8.2 条信息安全风险评估。

在第 6.1.2 条中，标准要求您定义并应用信息安全风险评估。第 8.2 条是关于执行 该评估。就是这样！

根据您的流程开展风险评估，定期安排，必要时也可临时安排，当然，还要将评估结果记录在案。

要做到这一点，你可以使用以下三步流程来对信息安全进行风险评估。

• 首先，确定你的资产。
• 其次，确定从这些资产中输出的信息。
• 最后，对信息进行分类，并确定信息的优先级。

例如，个人信息、财务记录和密码可归类为 "机密"。 然后，这些信息应获得高优先级或更高的风险评分。 应采取额外的控制措施来确保这些信息的安全。

在对信息进行分类时，不要忘记贵组织用来区别于竞争对手的任何知识产权或专有信息。我们经常看到这些信息未被分类。想一想，如果竞争对手获得了这些信息，会发生什么。

8.3 信息安全风险处理

最后是 8.3 信息安全风险处理。

这要求你执行 6.1.3 条款中定义的信息安全风险处理计划。与 ISO 27001 的所有要求一样，确保记录任何发现的结果。

重要的是，在每次安全风险评估后都要执行风险处理流程，以确保正确的缓解措施到位。

风险评估后，应将风险转移到信息安全风险登记册上，并确定控制/处理措施。ISO 27001 附件 A 中列出的控制措施是一个很好的指南。其他控制措施可在 NIST 提供的信息安全框架、澳大利亚网络信息安全手册 (ISM) 和新西兰 ISM 等中找到。结合使用控制列表可以提供更全面的控制集供您选择，这样您就可以更准确地针对和防御对您的特定组织和行业最重要的威胁和风险。

然后，可以根据之前设定的优先级实施选定的控制措施。 优先级高的风险可以首先实施。以此类推。

结论

就是这样。其实一切都很简单。只需实施你在 6.1.1 和 6.1.2 中创建的风险控制和目标即可。

简而言之

1. 规划风险控制/处理措施的实施。
2. 实施控制措施。
3. 确保变更管理流程到位，以管理即将发生的变更。
4. 确保有记录证明你正在实现控制措施和目标。