服务项目 |
ISO27001认证办理,ISO27000认证申请,信息安全体系认证办理,信息安全管理体系认证 |
面向地区 |
工业品 |
机械设备 |
记录风险处理计划
风险处理计划的核心是一个详细的时间表,它显示出,对于每一项确定的风险,该组织决定如何对待它,哪些控制已经到位,哪些额外的控制被认为是必要 的,以及实施它们的时间框架。对每项风险,可接受的风险程度需要得到确定,同样要确定可将风险置于一个可接受
水平的风险处理选项。
风险处置计划和风险评估计划相关联,详细的情况在前面风险评估章节中有讲到,目的是为了识别和设计恰当的控制措施,以及如在适用性声明中所描述的那 样,部署、测试和改进董事会设定的风险管理方法。这一计划也应确保有足够的经费和实施资源来部署选定的控制
措施,并应列清楚它们具体是什么,有哪些。
风险处理计划也应确定执行和持续改进它所必需的个人能力和广泛的培训和宣传。
风险处理计划和 PDCA 方法
风险处理计划是同 ISMS 的 PDCA循环中所有四个阶段联系起来的关键文件计划。它是一种高层次的,记录在案的关于谁负责交付哪些风险管理目标、如何实现、要用到哪些资源,以及如何评估和改进它们。
