7.1 風險處理概述

7.1.1　風險處理的概念

風險處理是信息安全風險管理的第三步驟，依據風險評估的結果，選擇和實施合適的安全措施。附錄A中列出了常用的風險處理參考模型以及相應的處理措施。

7.1.2　風險處理的目的

風險處理是為了將風險始終控制在可接受的范圍內。

7.1.3　風險處理的方式

風險處理方式主要有規避、轉移、降低和接受四種方式：
1、規避方式。通過不使用面臨風險的資產來避免風險。比如，在沒有足夠安全保障的信息系統中，不處理特別敏感的信息，從而防止敏感信息的泄漏。再如，對于只處理內部業務的信息系統，不使用互聯網，從而避免外部的有害入侵和不良攻擊。
2、轉移方式。通過將面臨風險的資產或其價值轉移到更安全的地方來避免或降低風險。比如，在本機構不具備足夠的安全保障的技術能力時，將信息系統的技術體系（即信息載體部分）外包給滿足安全保障要求的第三方機構，從而避免技術風險。再如，通過給昂貴的設備上保險，將設備損失的風險轉移給保險公司，從而降低資產價值的損失。
3、降低方式。通過對面臨風險的資產采取保護措施來降低風險。保護措施可以從構成風險的五個方面（即威脅源、威脅行為、脆弱性、資產和影響）來降低風險。比如，采用法律的手段制裁計算機犯罪（包括竊取機密信息，攻擊關鍵的信息系統基礎設施，傳播病毒、不健康信息和垃圾郵件等），發揮法律的威懾作用，從而有效遏制威脅源的動機；采取身份認證措施，從而抵制身份假冒這種威脅行為的能力；及時給系統打補丁（特別是針對安全漏洞的補丁），關閉無用的網絡服務端口，從而減少系統的脆弱性，降低被利用的可能性；采用各種防護措施，建立資產的安全域，從而保證資產不受侵犯，其價值得到保持；采取容災備份、應急響應和業務連續計劃等措施，從而減少安全事件造成的影響程度。
4、接受方式。接受風險是選擇對風險不采取進一步的處理措施，接受風險可能帶來的結果。采取不對風險進行處理的前提是：確定了信息系統的風險等級，評估了風險發生的可能性以及帶來的潛在破壞，分析了使用每種處理措施的可行性，并進行了較全面的成本效益分析，認定某些功能、服務、信息或資產不需要進一步保護。