了解更多ISO28000、ISO28000認證、供應鏈安全管理體系認證、iso28000供應鏈安全管理體系認證辦理信息，（Tel/同微: 13705429315）

1、一般

在規劃安全管理體系時，組織應考慮4.1中提到的問題和4.2中提到的要求，并確定需要應對的風險和機會。

——保證安全管理系統能夠實現其預期結果。

——防止或減少不期望的影響。

——實現持續的改進。 
本組織應計劃:

a）應對這些風險和機遇的行動。

b）如何。

——將這些行動納入其安全管理系統流程并加以實施。

——評估這些行動的有效性。
管理風險的目的是創造和保護價值。管理風險應被納入安全管理系統。與本組織及其相關方的安全有關的風險在8.3中述及。

2、確定與安全有關的風險并確定機會

確定與安全有關的風險以及識別和利用機會，需要進行積極主動的風險評估，其中應包括考慮但不限于以下因素。

a）物理或功能 故障以及惡意或犯罪行為。

b）環境、人類和文化因素以及其他內部或外部環境，包括影響組織安全的組織控制之外的因素。

c）安全設備的設計、安裝、維護和更換。

d）組織的信息、數據、知識和通信管理。

e）與安全威x和漏洞有關的信息。

f）供應商之間的相互依存關系。

3、應對與安全有關的風險和利用機會對已確定的安全相關風險的評價應提供以下投入(但不限于此)。

a）本組織的整體風險管理。

b）風險處理。

c）安全管理目標。

d）安全管理流程。

e）安全管理系統的設計、規范和實施。
f）確定足夠的資源，包括人員配置。

g）確定培訓需求和所需的能力水平。