?在这里,您必须实施您在上一步中定义的风险评估——大型组织可能需要几个月的时间,因此您应该非常小心地协调此类工作,关键是要了解组织信息的内部和外部危险。风险处理过程的目的是降低不可接受的风险——这通常是通过计划使用附件 A 中的控制来实现的(在根据 ISO 27001 的风险处理中的第4 条缓解选项中了解更多信息)。7. 撰写适用性声明一旦您完成了风险处理流程,您就会确切地知道您需要附件 A 中的
