一、ISO/IEC 27001:2022 6.1.3 标准原文
ISO/IEC 27001:2022 6.1.3 信息安全风险处置
条款要求:组织应根据风险评估结果确定适当的风险处置选项,选择必要控制,对照附录A验证是否遗漏控制,形成适用性声明,并制定风险处置计划;同时获得风险所有者对处置计划和残余风险的批准或接受。
这意味着风险处置不仅是“安排整改”,更包括控制选型、责任确认、残余风险判断和适用性声明等一整套治理动作。
条款要求:组织应根据风险评估结果确定适当的风险处置选项,选择必要控制,对照附录A验证是否遗漏控制,形成适用性声明,并制定风险处置计划;同时获得风险所有者对处置计划和残余风险的批准或接受。
这意味着风险处置不仅是“安排整改”,更包括控制选型、责任确认、残余风险判断和适用性声明等一整套治理动作。
提示:完整原文请参阅 ISO/IEC 27001:2022 正式文本
引用:6.1.3的关键,是把风险评估结论变成具体控制、具体计划和具体责任。
二、条款解读说明
2.1 风险处置不是默认“全部整改”
很多组织在看到高风险后,第一反应是“把控制补上”。这当然常常是正确方向,但标准要求的风险处置并不只有一种路径。常见处置选项包括降低风险、规避风险、转移风险和接受风险。在信息安全场景下,可能对应实施新控制、调整业务模式、引入保险或外部服务、在明确边界下接受残余风险。关键不在于是否“全做”,而在于是否经过充分评估并由正确层级批准。
风险处置最大的管理价值,在于把抽象风险变成可执行动作。评估阶段只是在识别和排序,处置阶段才真正涉及控制设计、责任安排、预算、时限和效果验证。因此,6.1.3是风险管理从“认识问题”走向“解决问题”的核心条款。
2.2 条款关键输出拆解
| 关键输出 | 标准要求 | 常见问题 | 审核证据 |
|---|---|---|---|
| 风险处置选项 | 明确采取何种处理策略 | 一律写“整改”缺乏判断 | 处置策略记录 |
| 控制选择 | 确定需要实施的控制 | 只写原则,不写控制措施 | 控制清单、制度和技术方案 |
| 附录A对照 | 验证是否遗漏必要控制 | 把附录A当作机械勾选表 | 控制比对分析 |
| 适用性声明 | 说明控制是否适用及理由 | 只列“适用/不适用”,无依据 | SoA文档 |
| 残余风险接受 | 由风险所有者批准剩余风险 | 没人签字或签字层级错误 | 风险接受记录 |
2.3 如何正确理解附录A和适用性声明
附录A不是一张必须全部勾选“适用”的控制菜单,而是一份控制参考目录。组织应根据自身风险情况、业务场景和管理要求选择控制,并解释为什么适用或不适用。适用性声明的价值也不只是审核用途,它实际上是一份“控制决策说明书”,帮助组织解释自己为什么选这些控制、为什么不选那些控制,以及这些控制如何对接风险处置逻辑。
注意:6.1.3最怕两种极端:一种是机械套附录A,另一种是完全不对照附录A,只凭个人经验选控制。
三、实施要点
3.1 先确定处置策略,再谈控制设计
- 对每个需处理风险明确是降低、规避、转移还是接受,不要直接跳到具体整改动作。
- 对高风险和高成本事项要比较多个处置选项,说明为何选择当前方案。
- 处置策略需与风险接受准则和业务现实相匹配。
3.2 把控制措施写成可执行动作
- 控制措施应明确责任人、时限、资源、依赖条件和验证方式。
- 避免只写“加强管理”“完善流程”这类抽象表述。
- 技术控制、管理控制和组织控制应结合使用。
3.3 做好附录A对照分析
- 对照附录A时关注风险是否已被充分覆盖,而不是只追求“表格填满”。
- 若某项控制不适用,应写清不适用原因和边界。
- 如果组织采用了附录A之外的控制,也应在处置逻辑中说明。
3.4 形成高质量适用性声明
- SoA中应至少包括控制清单、适用性结论、选择理由和实施状态。
- SoA应与风险评估、控制实施和审核抽样保持一致。
- 每次重大风险、控制或范围变化后,都要考虑是否更新SoA。
3.5 明确残余风险接受机制
- 控制做完后仍可能存在残余风险,应由适当层级的风险所有者进行接受。
- 接受前应说明残余风险水平、补救计划和复核时点。
- 不要让安全部门代替业务或管理层默许风险。
成功:有效的6.1.3会让组织从“知道有风险”进化到“知道该用什么控制、由谁去做、剩余风险由谁承担”。
四、常用工具与实施方法
| 工具/方法 | 应用目的 | 实施建议 | 输出成果 |
|---|---|---|---|
| 风险处置计划模板 | 规范动作设计 | 包含策略、措施、责任、时限、验证字段 | 处置计划 |
| 附录A比对表 | 检查控制覆盖性 | 按风险和控制目标进行映射分析 | 控制覆盖分析 |
| 适用性声明(SoA) | 统一记录控制选择依据 | 保持与实际实施状态一致 | SoA正式文件 |
| 残余风险批准流程 | 明确接受机制 | 按风险等级定义批准层级 | 风险接受记录 |
| 整改验证清单 | 验证控制是否有效实施 | 结合测试、复核和抽样检查 | 验证报告 |
五、典型案例
案例一:企业用SoA纠正“控制想当然”问题
- 背景:企业风险评估后补了大量控制,但多年没人梳理其选择依据。
- 问题:审核时无法解释为什么某些控制缺失、某些控制又重复建设。
- 6.1.3动作:重做附录A对照和SoA,逐项解释适用性和当前实施状态。
- 结果:控制体系更清晰,后续审计和改进更有抓手。
- 启示:SoA不是附件,而是控制决策地图。
案例二:制造企业明确残余风险接受责任
- 背景:某些老旧设备无法在短期内完成全面加固。
- 问题:安全团队长期背负风险,但业务继续运行。
- 6.1.3动作:建立由业务负责人、设备负责人和管理层共同参与的残余风险接受机制,并设定阶段性补偿控制。
- 结果:风险责任回到业务链条,同时改造计划更可执行。
- 启示:接受风险不是放弃管理,而是明确承担边界。
案例三:SaaS企业把供应链风险处置做成组合方案
- 背景:企业多个第三方服务商涉及日志、监控和支付环节。
- 问题:原计划只要求供应商签保密协议,处置力度不足。
- 6.1.3动作:组合采用合同加严、访问控制、定期审查和监控补强等多种措施。
- 结果:供应链风险下降,客户审计更易通过。
- 启示:风险处置常常是控制组合,而不是单一动作。
六、成文信息管理要求
6.1.3涉及多项明确输出,尤其是风险处置计划和适用性声明,因此审核时通常会重点检查文档逻辑是否完整、版本是否一致、记录是否能支撑当前控制状态。
| 建议文件或记录 | 关键内容 | 责任部门 | 审核价值 |
|---|---|---|---|
| 风险处置计划 | 策略、措施、责任、时限、资源、验证方式 | 安全部/责任部门 | 证明风险已安排处理 |
| 适用性声明(SoA) | 控制、适用性、理由、实施状态 | 体系办/安全部 | 证明控制选择有依据 |
| 附录A对照分析 | 控制覆盖逻辑和差异说明 | 安全部 | 证明未遗漏关键控制 |
| 残余风险接受记录 | 风险级别、接受理由、批准层级、复核时点 | 业务/管理层 | 证明风险由适当角色承担 |
七、常见误区及踩坑提醒
| 误区 | 问题表现 | 正确做法 |
|---|---|---|
| 所有风险一律写“整改” | 缺乏策略判断和优先级管理 | 明确降低、规避、转移、接受等选项 |
| 控制措施过于抽象 | 无法执行、无法验证 | 写成具体动作、责任、时限和证据 |
| 把附录A当勾选表 | 忽略组织实际风险场景 | 以风险逻辑做适用性判断 |
| SoA与实际状态不一致 | 文件显示已实施,现场却无证据 | 将SoA纳入版本和变更管理 |
| 残余风险无人正式接受 | 责任边界模糊 | 由适当层级的风险所有者批准 |
警告:避免把6.1.3简单理解成“列整改项”。真正常见的漏洞是控制选择无依据、SoA空泛、残余风险无人承担。
小结:第6.1.3条要求组织把风险评估结果转化为系统性的处置行动,包括控制选择、附录A对照、适用性声明和残余风险接受。只有这一步做扎实,风险管理才真正落地。