风险处理是选择和实施修改已识别风险级别的选项的过程。
根据ISO 31000,风险处理涉及选择一个或多个修改风险的选项并实施。四个基本选项是:回避风险、修改可能性或后果、分担风险或知情保留风险。
回避(消除活动)、修改(实施控制)、分担(转移给第三方或保险)和保留(有意识接受)。
每个处理的风险需要有负责人、期限、资源和有效性标准的文件化计划。
处理后的残余风险必须在组织的风险偏好范围内。否则需要额外处理。
通过控制修改风险是最常见的选项。在信息安全中,这意味着实施ISO 27001附录A控制。
保留风险的决定必须由对该风险级别有权限的人批准,通常是最高管理层或指定的风险所有者。
需要此领域的评估?