6. 規劃

6.1 因應風險和機會之行動

• 決定需要因應的風險和機會，規劃因應的行動並評估其有效性；確保達成 ISMS 的預期成果、預防或減少意外影響、持續改善。
• 風險評鑑前，需先訂定風險接受準則後，再進行風險評鑑。
• 風險評鑑步驟：

• 識別：識別機密性、完整性、可用性的風險，以及風險的擁有者。
• 分析：分析風險發生的可能性與發生時的潛在後果，並決定風險等級。
• 評估：以風險接受準則對分析出的風險進行評估，以及處理的優先等級。

• 依照風險評鑑結果，決定風險的處理措施，並比對附錄 A 確認沒有忽略必要的控制措施。
• 制訂風險處理計畫，並取得風險擁有者的同意及接受殘餘風險。

6.2 資安目標與達成規劃

• 資安目標要與資安政策一致。
• 目標被訂定後，要被確實傳達及適當更新。
• 規劃達成目標的方法時，要敲定 Todo list、需要的資源、負責人、達成目標的時間與評估方式。

7. 支援

• 組織需提供建立與維運 ISMS 的資源。
• 決定對可能影響資安的人員所需能力，確保該人員的能勝任，且應保留文件化資訊為證；組織亦可在必要時採取行動（例如採取定期教育訓練）。
• 員工需要對資安政策、自己對 ISMS 的幫助、不遵守 ISMS 的可能後果有認知。
• 要確實將 ISMS 給內外部溝通或傳達。
• 所有此要求要被文件化、或是組織認為需要背文件化的資訊，應確實被以文件提供。
• 文件化資訊要有適當的識別與描述、格式、媒體，並且通過適合、適切性的審核。
• 確保文件化資訊可及性、適用性，且被適當保護，確保機密性、完整性、可用性。
• 針對文件化資訊進行控制措施，確保傳達、存取使用、檢索、儲存、變更、留存或到期的處置程序。