如何确定组织的信息安全要求？

  组织在进行安全控制之前应明确信息安全要求。组织的信息安全要求主要来自三个方面，简述如下：

1 法律法规与合同要求

  相关的信息安全法律法规是对组织的强制性要求。组织应对现有的法律法规进行识别，将适用于组织的法律法规转化为组织的信息安全要求。法律法规要求组织必须予以贯彻实施，确保实施结果的符合性，另外，组织要关注法律法规的变化，保持持续地符合法律法规要求。

  另一个方面，组织要考虑业务合作者和客户对组织提出的具体信息安全要求，经双方确认组织应采取安全措施予以满足。

2 风险评估的结果

  风险评估通过综合分析每一项信息资产所面临的威胁、存在的薄弱点、潜在影响及其发生的可能性，识别组织面临的风险和相应的安全控制要求。风险评估的结果是信息安全管理的基础，是信息安全要求的最主要来源。

3 组织已有的原则、目标与要求

  组织根据已有的支持业务运作的信息处理原则、目标与要求来确定信息安全要求，也就是说组织已有的信息安全方针、安全目标与安全标准也是安全要求的一个来源。