4.2　風險處理的方式

4.2.1　概述

風險處理的方式主要有風險降低、風險規避、風險轉移和風險接受四種。這四種方式并不互相排斥，組織可以通過多種風險處理方式的合理組合充分獲益

4.2.2　風險降低

通過對面臨風險的資產采取保護措施來降低風險。保護措施可以從構成風險的5個方面（即威脅源、威脅行為、脆弱性、資產和影響）來降低風險。比如，采用法律的手段制裁計算機犯罪（包括竊取涉密信息，攻擊關鍵的信息系統基礎設施，傳播有害信息和垃圾郵件等），發揮法律的威懾作用，從而有效遏制威脅源的動機；采取身份認證措施，從而抵制身份假冒威脅行為的能力；及時給系統打補丁（特別是針對安全漏洞的補丁），關閉無用的網絡服務端口，從而減少系統的脆弱性，降低其被利用的可能性；采用各種防護措施，建立資產的安全域，從而保證資產不受侵犯，其價值得到保持；采取容災備份、應急響應和業務連續性計劃等措施，從而降低安全事件造成的影響程度。

4.2.3　風險規避

通過不使用面臨風險的資產來避免風險。比如，在沒有足夠安全保障的信息系統中，不處理敏感的信息，從而防止敏感信息的泄漏。再如，對于只處理內部業務的信息系統，不使用互聯網，從而避免外部的入侵和攻擊。

4.2.4　風險轉移

通過將面臨風險的資產或其價值進行安全轉移來避免或降低風險。比如，在本機構不具備足夠的安全保障技術能力時，將信息系統的技術體系（即信息載體部分）外包給滿足安全保障要求的第三方機構，從而避免技術風險。再如，通過給昂貴的設備上保險，將設備損失的風險轉移給保險公司，從而降低資產價值的損失。

4.2.5　風險接受

對風險不采取進一步的處理措施，接受風險可能帶來的結果。風險接受的前提是：確定了信息系統的風險等級，評估了風險發生的可能性以及帶來的潛在破壞，分析了使用處理措施的可能性，并進行了較全面的成本效益分析，認定某些功能、服務、信息或資產不需要進一步保護。