# 5. Planning (Clause 6)
## Clause 6.1: Actions to Address Risks and Opportunities
### Clause 6.1.1: Genera
> Giải thích nó lý do tại sao cần quản lý rủi ro, và làm thế nào nó phải là một phần của ISMS
### Clause 6.1.2: Information security risk assessment
> Giải thích cách xác định, phân tích, và đánh giá rủi ro
Đây là trái tim của ISMS
Information Security Risk Assessment Process Requirements (Yêu cầu về quy trình đáng giá rủi ro bảo mật thông tin)
* Có tiêu chí rủi ro
* Nhất quán và có thể lặp lại
* Xác định rủi ro và chủ sở hữu
* Phân tích tác động rủi ro và khả năng xảy ra
* Đánh giá rủi ro để ưu tiên chúng
Many Risk Assessment Process Options (nhiều tùy chọn quy trình đánh giá rủi ro)
* Phải tuân thủ with clause 6.1.2
* ISO/IEC 27005 là sự lựa chọn an toàn (đây là tiêu chuẩn chính thức về quản lý rủi ro)
* Công cụ phần mềm đánh giá rủi ro
* Xây dựng quy trình của riêng bạn
* Tránh làm cho nó phức tạp
Common Approach to Risk Assessment (phương pháp tiếp cận chung để đánh giá rủi ro)
* TVI là viết tắt của threats, vulnerabilities, and impact (mối đe dọa, lỗ hổng, và tác động)
* Với bất kỳ tài sản nào (asset), hãy xác định các mỗi đe dọa, lỗ hổng và tác động nếu tài sản đó bị xâm phạm
* Đưa ra ước tính sơ bộ về rủi ro cho tài sản đó.
Assets, Threats, and Vulnerabilities
* Xây dựng kho tài sản thông tin (an information asset inventory
* Đối với mỗi tài sản, hãy xác định các mối đe dọa và lỗ hổng có thể xảy ra và đã biết
* Đánh giá tác động qua việc xem xét 3 khía cạnh của tam giác bảo mật CIA (tính bảo mật, tính toàn vẹn và tính sẵn có)
Evaluate Risks (Đánh giá rủi ro)
* Xác định điểm rủi ro cho từng tài sản (a risk score for each asset)
* Có thể high, medium, or low
* Xác định chủ sở hữu rủi ro
* Phân tích rủi ro được thu thập trong a risk register
### Clause 6.1.3: Information security risk treatment
> Mô tả các hành động mà tổ chức phải thực hiện để xử lý các rủi ro đã được xác định
Gồm 3 tài liệu bắt buộc:
* Phương pháp xử lý rủi ro
* Kế hoạch xử lý rủi ro
* Tuyên bố về khả năng áp dụng
Ways to treat risk (cách xử lý rủi ro)
* Avoid the risk (tránh rủi ro)
* Control the risk (kiểm soát rủi ro)
* Transfer the risk (chuyển giao rủi ro)
* Accept the risk (chấp nhận rủi ro)
* Hoặc một số sự kết hợp của những điều trên
Build a Risk Treatment Plan (Xây dựng kế hoạch xử lý rủi ro)
* Rủi ro và mức độ rủi ro được đánh giá
* Các hành động xử lý rủi ro
* Ai sẽ xử lý rủi ro
* Nguồn lực và ngân sách sẵn có
* Khung thời gain thực hiện
Residual Risk (rủi ro còn lại)
* Cũng cần phải mô tả những rủi ro còn lại
* Rủi ro còn lại là những rủi ro còn sót lại sau khi xử lý rủi ro, bởi vì không phải lúc nào bạn cũng có thể loại bỏ được mọi rủi ro.
* Nó quan trọng đối với tổ chức và chủ sở hữu rủi ro hiểu rõ về những rủi ro còn sót lại.
* Chủ sở hữu rủi ro phải phê duyệt phương án xử lý rủi ro và chấp nhận mọi rủi ro còn lại.
Statement of Applicability (tuyên bố về khả năng áp dụng)
* Cho biết các biện pháp kiểm soát của Annex A controls mà tổ chức của bạn đã triển khai
* Giải thích lý do tại sao mọi biện pháp kiểm soát không được triển khai
* Loại trừ các controls không được áp dụng
* Không thể loại trừ các controls mà bạn không muốn triển khai.
Demonstrate Compliance with clause 6.1.3
* phương pháp xử lý rủi ro
* Kế hoạch xử lý rủi ro
* Tuyên bố về khả năng áp dụng
* Bắt đầu đánh giá và xử lý rủi ro
## Clause 6.2: Information Security Objectives and Planning to Achieve Them
> Mục tiêu và kế hoạch bảo mật thông tin để đạt được chúng
* Mục tiêu bảo mật giống như mục tiêu ISMS của bạn
* ISMS của bạn đang cố gắng đạt được điều gì?
* Làm thế nào bạn sẽ biết khi nào các mục tiêu đã đạt được
Requirements for Security Objectives (yêu cầu đối với đối tượng bảo mật)
Information security objectives must:
* nhất quán với chính sách bảo mật thông tin của bạn
* Có thể đo lường được
* Xem xét các yêu cầu bảo mật thông tin và kết quả từ việc đánh gái rủi ro và xử lý rủi ro
* có thể giao tiếp
* Được cập nhật khi cần thiết
Ideas for Security Objectives
* Bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn có
* Review lại công việc bạn đã làm cho các clause 4.1, 4.2, 4.3, và 6.1 để biết các mục tiêu khả thi
* Động não cùng người khác và sử dụng những gì bạn biết để xác định các mục tiêu khác.
Build a Plan to Achieve Security Objectives
* What will you do?
* What resources you need to do it? (nguồn lực)
* Who will do it?
* When will it get done?
* How will you know it's done right?
Demonstrate Compliance with clause 6.2
* Identify and document the information security objectives for your ISMS
* Build a plan để đạt được mục tiêu
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://viettaliii.gitbook.io/home/role/information-security-specialist/iso-27001-2022/5.-planning-clause-6.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.