五、 風險接受
將風險處置計畫和殘餘風險的評估提交給組織的管理者以進行接受風險的決策,組織需正式記錄風險接受決策的發布和相關的決策責任,對於未能滿足正常風險接受準則但被接受的風險清單,應附帶接受的理由,依照全景分析時所設定的資訊安全風險處理的組織及決策路徑,執行風險接受的步驟,並記錄所有過程。
六、 溝通與諮詢
從風險管理活動中獲得的所有風險資訊,藉由在決策者和其他利害關係者之間進行交換和/或共用有關風險的資訊,以獲得對組織風險管理過程和結果持續的了解。在整個資訊安全風險管理的過程中應該持續溝通利害關係者、主管及執行者之間的意見,以達成下列目標:
• 為組織的風險管理成果提供信心
• 蒐集風險資訊
• 分享風險評估的結果和展示風險處置計畫
• 避免或減少由於決策者和利害關係者之間缺乏相互理解,而導致違背資訊安全事項的發生和後果
• 為決策提供支援
• 獲得新的資訊安全知識
• 與其它各方進行協調,並計畫應對措施以降低任何事件的可能性
• 為了讓決策者和利害關係者意識到關於風險的責任
• 提高風險意識
七、 監控與審查
從風險管理活動中獲得的所有風險資訊,經由監控和審查風險及風險要素,不斷調整資訊安全風險管理的作為,改善的內容包含法律和環境範疇、競爭範疇、風險評估方法、資產價值和分類、衝擊準則、風險評價準則、風險接受準則、整體擁有成本以及所需要的資源,執行監控可能導致修改或增加使用的方針、方法和工具,對於定義的改變、過程的目的及對象及重複的風險評估都應監控與審查其有效性,最後以持續改善的精神去執行相關的更新作業。
八、 適用性聲明書
前面已經完整敘述一個資訊安全風險管理的架構及作法,回到第六章的條文,如果利用ISO 27005的做法將可滿足6.1.2及6.1.3的要求,這邊就不再重複敘述了;6.1.3的後半段是利用風險處理的規劃,依照附錄A去創建一個適用性聲明書,如果組織採用附錄A中沒有的控制項,也可以自行在適用性聲明書中創建,例如:對於員工自行攜帶電腦設備進入辦公室執行作業的控制措施,所以適用性聲明書要敘述的重點是經過風險分析之後組織需要執行哪些控制措施?執行的理由為何?如果附錄A裡面的控制項不適用於組織,組織必須敘明其不適用的理由,一個合適的適用性聲明書須完整考慮資訊安全管理系統範圍內所有因素,根據風險來決定是否執行控制措施,如果在範圍之外才有可能被考慮排除,例如:A.14.2.7 委外開發,如果組織沒有委外開發的行為,所有的開發作業都由組織執行,這樣的排除才會比較適切;另外有一些條文因為翻譯或是以往觀念的關係,經常被列在排除項目內,例如:A.10.1.2 金鑰管理,通常組織會認為我們不是發憑證或金鑰的單位,或者系統內不存在憑證或金鑰,因而將本項控制措施逕行排除,但是本條控制措施要求的是全生命週期的管制,就算只有申請、運用及廢止,也是在這個控制措施中需要執行的,比如說網站的HTTPS憑證也是需管制,更不用說有些組織的公文傳輸交換系統、郵件系統都有使用金鑰或憑證;另外還有一項也是經常被人誤解的:A.14.1.3 保護應用服務交易,因為翻譯的關係,被人誤解為有金流部份的交易才需要使用這項控制措施,但是這項控制措施所要保護的是應用服務中交易的資訊,並非一定要有金流才需要保護,所以在排除控制措施上一定要注意其控制的目標為何,才不會造成誤用或誤判。