5.1　制定風險處理計劃

5.1.1　劃定風險處理范圍

根據風險評估報告、組織的安全管理策略及安全需求劃定風險處理工作的范圍，在確定風險處理的邊界時，應考慮以下因素：

a) 業務系統的業務邏輯邊界；

b) 網絡及設備載體邊界；

c) 物理環境邊界；

d) 組織管理權限邊界；

e) 其它。

5.1.2　明確風險處理依據

風險處理的依據包括（但不限于）：

a) 國家的相關法律、法規和政策；

b) 現行國際標準、國家標準和行業標準；

c) 行業主管部門的相關規章和制度；

d) 組織的業務戰略和信息安全需求；

e) 組織業務相關單位的安全要求；

f) 系統本身的安全要求等。

5.1.3　組建風險處理團隊

信息安全風險處理是基于風險的信息系統的一種安全管理過程，因此風險處理團隊既包括信息安全風險管理的直接參與人員，也包括信息系統的相關人員。信息安全風險處理主要劃分為管理層和執行層，管理層負責信息系統風險處理的決策、總體規劃和批準監督，各過程中的管理、組織和協調工作；執行層負責信息安全風險處理的具體規劃、設計和實施，過程監督、記錄并反饋實施效果。

如果采用的風險轉移方式中涉及到第三方單位，應將其納入風險處理團隊。

5.1.4　設定風險處理的目標和可接受準則

根據信息系統風險評估結果，依據國家相關信息安全要求，組織和相關方的信息安全訴求，明確風險處理對象應達到的最低保護要求，結合組織的風險可承受程度，確定風險可接受準則。風險可接受準則的劃分可參考如下標準：

a) 風險等級為很高或高的風險建議進行處理，對于現有處理措施技術不成熟的，建議加強監控；

b) 風險等級為中的風險可根據成本效益分析結果確定，對于處理成本無法承受或現有處理措施技術不成熟的，可持續跟蹤、逐步解決；

c) 風險等級為低或很低的風險可選擇接受，但應綜合考慮組織所處的政策環境、外部相關方要求和組織的安全目標等因素。

風險可接受準則宜與管理層充分溝通，得到組織管理層認可，并與風險處理計劃一起提交管理層批準。

5.1.5　選擇風險處理方式

根據風險處理可接受準則，明確需要處理的風險和可接受的風險，對于需要處理的風險，應初步確定每種風險擬采取的處理方式，形成風險處理列表。風險處理方式可以是規避風險、轉移風險、降低風險三種處理方式的一種，也可以是多種處理方式的組合。

風險處理列表的內容包括風險名稱、涉及的資產范圍、初步確定的風險處理方式等。風險處理列表需要得到組織管理層的認可和批準。

5.1.6　明確風險處理資源

根據既定的風險處理目標，明確風險處理涉及的部門、人員和資產以及需要增加的設備、軟件、工具等所需資源。

5.1.7　形成風險處理計劃

上述所有內容確定后，應形成風險處理計劃。處理計劃應包含（但不限于）：風險處理范圍、依據、目標、方式、所需資源等。

輸入：風險評估報告、風險等級列表

輸出：風險處理計劃