资产识别后的风险处理

  组织识别了资产的风险之后，就面临着如何对这些风险进行处理的问题，风险处理方法大致包括以下几种：
□ 降低风险：几乎所有的风险都能够被降低，组织可以从ISO/IEC 27002中选择适当的控制来有效的降低风险。
□ 避免风险：完全避免某些风险可能非常容易，而且不需要太多的费用。例如使用一种不同的技术、改变一个程序，或实施一个通用的控制等。
□ 转移风险：在风险不能或不易通过降低或避免而被消除的地方，经常用转移的方法。这种方式可以有效规避低可能性、高影响的风险，例如火灾、水灾、地震等不可抗力因素导致的风险。风险转移最常用的方法有参加保险和合同转包。
□ 接受风险：由于技术和费用的限制，在不可接受的风险被降低或转移之后，还会有一些残留的风险。组织应确定哪些是可接受的风险，哪些是不可接受的风险，对于不可接受的风险应继续采取进一步的措施将其降低到可接受的水平。