在考虑风险处理前,组织应确定风险是否能被接受的准则。如果经评估显示,风险较低、处理成本超出资产自身价值或当前不具备解决风险的客观条件,则风险可被接受。由于随着时间的变化,风险的级别、处理成本和解决条件都可能有变化,所以后续的每次风险评估都需要重新考虑风险是否可接受。这些决定应加以记录。
对于风险评估所识别的每一个风险,必须做出风险处理决定。可能的风险处理选项包括:应用适当的控制措施以降低风险;只要它们满足组织的方针和风险接受准则,就要有意识地、客观地接受该风险;通过禁止可能导致风险发生的行为来避免风险;将相关风险转移到其他方,例如,保险或供应商。
对风险处理决定中要采用适当控制措施的那些风险来说,应选择和实施这些控制措施以满足风险评估所识别的要求。控制措施应确保在考虑以下因素的情况下,将风险降低到可接受级别:国家和国际法律法规的要求和约束;组织的目标;运行要求和约束;降低风险相关的实施和运行的成本,并使之与组织的要求和约束保持一致;平衡控制措施实施和运行的投资与安全失误可能导致的损失。
控制措施可以从本标准或其他控制集合中选择,或者设计新的控制措施以满足组织的特定需求。认识到有些控制措施并不是对每一种信息系统或环境都适用,并且不是对所有组织都可行,这一点非常重要。在较小的组织中分割所有责任是不太可能的,实现同一控制目标的其他方法可能是必要的。信息安全控制措施应在系统和项目需求说明书和设计阶段予以考虑。做不到这一点可能会导致额外的成本和低效率的解决方案,最坏的情况可能达不到足够的安全。
没有一个控制措施集合能实现绝对的安全,为支持组织的目标,应实施额外的管理措施来监视、评价和改进安全控制措施的效率和有效性。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
