【内容解析】
风险处置的有效性取决于风险评估结果。风险处置有可能不能立即达到一个可接受水平的残余风险。在这种情况下,如果必要,可能需要另一个改变了背景参数(例如,风险评估、风险接受或影响的准则)的风险评估迭代,接下来做进一步的风险处置。
风险处置的四种方式:
1)风险降低:为降低风险发生的可能性和/或不利后果所采取的行动。例如:采取纠正、消除、预防、影响最小化、威慑、检测、恢复、监视和意识等措施。
2)风险规避:对新技术或不能控制风险的活动,不采用该活动的方式。例如:避免采用新技术等。
3)风险转移:与另一方共享由风险带来的损失或收益。对于信息安全风险而言,风险转移仅考虑不利的后果(损失)。例如:保险、供应商等。
4)风险保留:也称“风险接受”,组织确定风险程度可接受的决定。在明显满足组织方针策略和接受风险的准则的条件下,有意识地、客观地接受风险。