3.  風(fēng)險(xiǎn)處理

風(fēng)險(xiǎn)處理是依據(jù)風(fēng)險(xiǎn)評估的結(jié)果，選擇和實(shí)施合適的安全措施。風(fēng)險(xiǎn)處理的目的是為了將風(fēng)險(xiǎn)始終控制在可接受的范圍內(nèi)。風(fēng)險(xiǎn)處理的方式主要有降低、規(guī)避、轉(zhuǎn)移和接受四種方式。

降低方式：組織首先應(yīng)該選擇降低風(fēng)險(xiǎn)，通常通過對面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施來降低風(fēng)險(xiǎn)。保護(hù)措施可以從構(gòu)成風(fēng)險(xiǎn)的五個(gè)方面（即威脅源、威脅行為、脆弱性、資產(chǎn)和影響）來降低風(fēng)險(xiǎn)。比如，采用法律的手段制裁計(jì)算機(jī)犯罪（包括竊取機(jī)密信息，攻擊關(guān)鍵的信息系統(tǒng)基礎(chǔ)設(shè)施，傳播病毒、不健康信息和垃圾郵件等），發(fā)揮法律的威懾作用，從而有效遏制威脅源的動(dòng)機(jī)；采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為的禽毫力；及時(shí)給系統(tǒng)打補(bǔ)丁（特別是針對安全漏洞的補(bǔ)丁），關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性；采用各種防護(hù)措施，建立資產(chǎn)的安全域，從而保證資產(chǎn)不受侵犯，其價(jià)值得到保持；采取容災(zāi)備份、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)計(jì)劃等措施，從而減少安全事件造成的影響程度。

規(guī)避方式：當(dāng)風(fēng)險(xiǎn)不能被降低時(shí)，通過不使用面臨風(fēng)險(xiǎn)的資產(chǎn)來避免風(fēng)險(xiǎn)。比如，在沒有足夠安全保障的信息系統(tǒng)中，不處理特別敏感的信息，從而防止敏感信息的泄漏。再如，

對于只處理內(nèi)部業(yè)務(wù)的信息系統(tǒng)，不使用互聯(lián)網(wǎng)，從而避免外部的有害入侵和不良攻擊。

轉(zhuǎn)移方式，只有在風(fēng)險(xiǎn)既不能被降低，又不能被規(guī)避時(shí)，通過將面臨風(fēng)險(xiǎn)的資產(chǎn)或其價(jià)值轉(zhuǎn)移到更安全的地方來避免或降低風(fēng)險(xiǎn)。比如，在本機(jī)構(gòu)不具備足夠的安全保障的技術(shù)能力時(shí)，將信息系統(tǒng)的技術(shù)體系（即信息載體部分）外包給滿足安全保障要求的第三方機(jī)構(gòu)，

從而避免技術(shù)風(fēng)險(xiǎn)。再如，通過給昂貴的設(shè)備上保險(xiǎn)，將設(shè)備損失的風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)公司， 從而降低資產(chǎn)價(jià)值的損失。

接受方式，是選擇對風(fēng)險(xiǎn)不采取進(jìn)一步的處理措施，接受風(fēng)險(xiǎn)可能帶來的結(jié)果。接受風(fēng)險(xiǎn)的前提是確定了風(fēng)險(xiǎn)的等級，評估了風(fēng)險(xiǎn)發(fā)生的可能性以及帶來的潛在破壞，分析了使用每種處理措施的可行性，并進(jìn)行了較全面的成本效益分析，認(rèn)定某些功能、服務(wù)、信息或資產(chǎn)不需要進(jìn)一步保護(hù)。

風(fēng)險(xiǎn)處理的過程包括現(xiàn)存風(fēng)險(xiǎn)判斷、處理目標(biāo)確立、處理措施選擇和處理措施實(shí)施4個(gè)階段。