6.1.3 Tratamiento de los Riesgos de Seguridad de la Información.
La organización debe definir y efectuar un proceso de tratamiento de los riesgos de seguridad de la información para:
a) Seleccionar las opciones adecuadas de tratamiento de riesgos de seguridad de la información teniendo en cuenta los resultados de la apreciación de riesgos.
b) Determinar todos los controles que sean necesarios para implementar la(s) opción(es) elegida(s) de tratamiento de riesgos de seguridad de la información.
NOTA: Las organizaciones pueden diseñar controles según sea necesario, o identificarlos a partir de cualquier fuente.
c) Comparar los controles determinados en el punto 6.1.3 b) con los del anexo A y comprobar que no se han omitido controles necesarios.
NOTA 1: El anexo A contiene una amplia lista de objetivos de control y controles. Se indica a los usuarios de esta norma internacional que se dirijan al anexo A para asegurar que no se pasan por alto controles necesarios.
NOTA 2: Los objetivos de control se incluyen implícitamente en los controles seleccionados. Los objetivos de control y los controles enumerados en el anexo A no son exhaustivos, por lo que pueden ser necesarios objetivos de control y controles adicionales.
d) Producir una “Declaración de Aplicabilidad” que contenga:
-
-
- Los controles necesarios [véase 6.1.3 b) y c)].
- La justificación de las inclusiones.
- Si los controles necesarios están implementados o no.
- La justificación de las exclusiones de cualquiera de los controles del anexo A.
-
e) Formular un plan de tratamiento de riesgos de seguridad de la información.
f) Obtener la aprobación del plan de tratamiento de riesgos de seguridad de la información y la aceptación de los riesgos residuales de seguridad de la información por parte de los dueños de los riesgos.
La organización debe conservar información documentada sobre el proceso de tratamiento de riesgos de seguridad de la información.
NOTA: La apreciación de los riesgos de seguridad de la información y el proceso de tratamiento recogido en esta norma internacional se alinean con los principios y directrices genéricas definidos en la Norma ISO 31000.
