8.風險處理計劃

對不可接受的風險應根據導致該風險的脆弱性制定風險處理計劃。風險處理計劃中應明確采取的彌補脆弱性的安全措施、預期效果、實施條件、進度安排、責任部門等。安全措施的選擇應從管理與技術兩個方面考慮。安全措施的選擇與實施應參照信息安全的相關標準進行。