GB/T 22080-2016标准的要求，下列说法正确的是（）。

GB/T 22080-2016标准6.1.3信息安全风险处置

6.1.3信息安全风险处置组织应定义并应用信息安全风险处置过程，以：

a）在考虑风险评估结果的基础上，选择适合的信息安全风险处置选项；

b）确定实现已选的信息安全风险处置选项所必需的所有控制；

注1：当需要时，组织可设计控制，或识别来自任何来源的控制。

c）将6.1.3b）确定的控制与附录A中的控制进行比较，并验证没有忽略必要的控制；

注2：附录A包含了控制目标和控制的综合列表。本标准用户可在附录A的指导下，确保没有遗漏必要的控制。

注3：控制目标隐含在所选择的控制内。附录A所列的控制目标和控制并不是完备的，可能需要额外的控制目标和控制。

d）制定一个适用性声明，包含必要的控制【见6.1.3b）和c）】及其选择的合理性说明（无论该控制是否已实现），以及对附录A控制删减的合理性说明；

e）制定正式的信息安全风险处置计划；

f）获得风险责任人对信息安全风险处置计划以及对信息安全残余风险的接受的批准。

组织应保留有关信息安全风险处置过程的文件化信息。

7.3意识

在组织控制下工作的人员应了解：

a）信息安全方针；

b）其对信息安全管理体系有效性的贡献，包括改进信息安全绩效带来的益处；

c）不符合信息安全管理体系要求带来的影响。