6.4 風險處置

對風險評估給出的具體風險，宜制定風險處置計劃，并結合組織自身的業務要求和能力限制，選擇風險處置策略。風險處置策略主要要包括以下類型：

a）風險降低：指為降低風險的可能性，減少風險負面結果所采取的行動。即對風險采取控制措施，減少威脅發生的可能性和帶來的影響，使風險級別降低，殘余風險在重新評估后能夠為組織風險策略接受。
b）風險規避：指不卷入風險處境的決定或撤離風險處境的行動。通過選擇放棄某些可能引發風險的業務或資產、采用改變環境或取消風險相關活動等方式實現對風險的規避。
c）風險轉移：指與另一方對風險帶來的損失或收益的共享行為。即將風險全部或部分轉移給其他方，組織可采用購買保險，與合作伙伴共同承擔的方式對風險進行轉移。
d）風險保留：指對來自特定風險的損失或收益的接受行為。在滿足組織安全策略的情況下，對風險不采取任何控制措施，接受特定風險可能帶來的損失。

注：見GB/T 31722-2015中第9章。