3.  風險處理

風險處理是依據風險評估的結果，選擇和實施合適的安全措施。風險處理的目的是為了將風險始終控制在可接受的范圍內。風險處理的方式主要有降低、規避、轉移和接受四種方式。

降低方式：組織首先應該選擇降低風險，通常通過對面臨風險的資產采取保護措施來降低風險。保護措施可以從構成風險的五個方面（即威脅源、威脅行為、脆弱性、資產和影響）來降低風險。比如，采用法律的手段制裁計算機犯罪（包括竊取機密信息，攻擊關鍵的信息系統基礎設施，傳播病毒、不健康信息和垃圾郵件等），發揮法律的威懾作用，從而有效遏制威脅源的動機；采取身份認證措施，從而抵制身份假冒這種威脅行為的禽毫力；及時給系統打補丁（特別是針對安全漏洞的補丁），關閉無用的網絡服務端口，從而減少系統的脆弱性，降低被利用的可能性；采用各種防護措施，建立資產的安全域，從而保證資產不受侵犯，其價值得到保持；采取容災備份、應急響應和業務連續計劃等措施，從而減少安全事件造成的影響程度。

規避方式：當風險不能被降低時，通過不使用面臨風險的資產來避免風險。比如，在沒有足夠安全保障的信息系統中，不處理特別敏感的信息，從而防止敏感信息的泄漏。再如，

對于只處理內部業務的信息系統，不使用互聯網，從而避免外部的有害入侵和不良攻擊。

轉移方式，只有在風險既不能被降低，又不能被規避時，通過將面臨風險的資產或其價值轉移到更安全的地方來避免或降低風險。比如，在本機構不具備足夠的安全保障的技術能力時，將信息系統的技術體系（即信息載體部分）外包給滿足安全保障要求的第三方機構，

從而避免技術風險。再如，通過給昂貴的設備上保險，將設備損失的風險轉移給保險公司， 從而降低資產價值的損失。

接受方式，是選擇對風險不采取進一步的處理措施，接受風險可能帶來的結果。接受風險的前提是確定了風險的等級，評估了風險發生的可能性以及帶來的潛在破壞，分析了使用每種處理措施的可行性，并進行了較全面的成本效益分析，認定某些功能、服務、信息或資產不需要進一步保護。

風險處理的過程包括現存風險判斷、處理目標確立、處理措施選擇和處理措施實施4個階段。