6.1　風險處理方案制定

6.1.1　風險處理備選措施準備

依據組織的使命，并遵循國家、地區或行業的相關政策、法律、法規和標準的規定，參考信息系統的風險評估報告，并結合風險處理準備階段的處理依據、處理目標、范圍和方式，依據每種風險的處理方式選擇對應的風險處理措施，編制風險處理備選措施列表。

輸入：信息系統風險評估報告，風險處理目標列表，風險處理計劃

輸出：風險處理備選措施列表

6.1.2　成本效益分析

針對風險處理備選措施列表的各項處理目標，結合組織實際情況，提出實現這些目標的多種可能方案，衡量各種方案的成本和收益，如果風險造成的損失大于成本，則依據最佳收益原則選擇適當的處理方案。

對于成本效益分析可以采用定量分析和定性分析兩種方法。對于定量分析首先需要確定確定各資產價值，為各個風險輸入資產價值，確定資產面臨的損壞程度，之后估計發生的可能性，進而以損失價值與發生概率相乘計算出預期損失。由于評估無形資產的主觀性本質，沒有量化風險的精確算法，建議根據組織情況明確成本和效益的一到兩個關鍵值，并設立期望值，進而選擇可行方案（案例可參見附錄A）。

在進行成本效益分析是，在成本應考慮的因素主要包括硬件、軟件、人力、時間、維護、外包服務；效益應考慮的因素主要包括政治影響、社會效益、合規性和經濟效益。

輸入：風險處理備選措施列表

輸出：風險處理成本效益分析報告，更新后的風險處理備選措施列表

6.1.3　殘余風險分析

任何信息系統都存在風險，同時風險不可能完全被消除。因此，需對實施風險處理措施后的殘余風險進行分析。對殘余風險的評價可以依據組織的風險評估準則進行。

若某些風險可能在選擇了適當的控制措施后仍處于不可接受的風險范圍內，則應通過管理層依據風險接受原則考慮是否接受此類風險或增加更多的風險處理措施。為確保所選擇的風險處理措施是有效的，必要時可進行再評估，以判斷實施風險處理措施后的殘余風險是否降到了可接受的水平。

輸入：風險處理備選措施列表

輸出：風險處理殘余風險分析報告，更新后的風險處理備選措施列表

6.1.4　處理措施風險分析及應急計劃

根據分析處理措施備選列表，對每項實施該處理措施可能帶來的風險進行分析，確認是否會因為處理措施不當或其他原因引入新的風險。針對存在的風險制定應對的方案，以提高實現風險處理目標的機會，并保證在出現問題時可以及時回退到原始狀態。應急計劃應包括處理措施面臨的主要風險，針對該風險的主要應對措施，每個措施必須有明確的人員來負責，要求完成的時間以及進行的狀態。進行處理措施風險分析和應急計劃的主要步驟包括：

a) 編制風險清單。風險清單包括：可預知的風險、風險的描述、受影響的范圍、原因，以及對項目目標的可能影響。

b) 確定應對措施。在應急計劃中，要選擇適當的應對措施，就應對措施形成一致意見，同時還要預計在已經采取了計劃的措施之后仍將殘留的風險和可能繼發的風險，以及那些主動接受的風險，并對不可預見風險進行技術和人員儲備。

c) 細化實施所選應對策略采取的具體行動、流程、預算、設備、人員和對應的責任。

d) 對于可能發生的特定風險，可采用風險轉移的方式進行處理。

輸入：風險處理備選措施列表

輸出：風險處理備選措施應急計劃

6.1.5　風險處理措施確認

在完成成本效益分析和殘余風險分析后，對每項風險選定一種或者幾種處理措施，完成最終的風險處理措施列表。然后對所有措施的成本、效益和參與的風險進行匯總，分析所選措施實施的整體成本、效益和殘余風險，確定滿足風險處理目標。

在完成風險處理措施選擇后，應將最終的處理措施提交組織管理層進行確認和批準。

輸入：風險處理備選措施列表，風險處理成本效益分析報告，風險處理殘余風險分析報告，風險處理備選措施應急計劃

輸出：風險處理措選擇列表

6.1.6　風險處理方案編制

依據機構的使命和相關規定，結合處理依據、處理目標、范圍和方式、風險處理措施、成本效益分析、殘余風險分析以及風險處理團隊的組成，編制風險處理方案。風險處理方案應包括風險處理的范圍、對象、目標、組織結構、成本預算和進度安排，并對每項處理措施的實施方法、使用工具、潛在風險、回退方法、應急計劃以及各項處理措施的監督和審核方法及人員進行明確說明。

風險處理方案編制完成后，可由管理層批準，或組織專家對風險處理方案進行評審。

輸入：風險處理措施選擇列表，風險處理計劃

輸出：風險處理方案