3. 风险处理
风险处理是依据风险评估的结果,选择和实施合适的安全措施。风险处理的目的是为了将风险始终控制在可接受的范围内。风险处理的方式主要有降低、规避、转移和接受四种方式。
降低方式:组织首先应该选择降低风险,通常通过对面临风险的资产采取保护措施来降低风险。保护措施可以从构成风险的五个方面(即威胁源、威胁行为、脆弱性、资产和影响)来降低风险。比如,采用法律的手段制裁计算机犯罪(包括窃取机密信息,攻击关键的信息系统基础设施,传播病毒、不健康信息和垃圾邮件等),发挥法律的威慑作用,从而有效遏制威胁源的动机;采取身份认证措施,从而抵制身份假冒这种威胁行为的禽毫力;及时给系统打补丁(特别是针对安全漏洞的补丁),关闭无用的网络服务端口,从而减少系统的脆弱性,降低被利用的可能性;采用各种防护措施,建立资产的安全域,从而保证资产不受侵犯,其价值得到保持;采取容灾备份、应急响应和业务连续计划等措施,从而减少安全事件造成的影响程度。
规避方式:当风险不能被降低时,通过不使用面临风险的资产来避免风险。比如,在没有足够安全保障的信息系统中,不处理特别敏感的信息,从而防止敏感信息的泄漏。再如,
对于只处理内部业务的信息系统,不使用互联网,从而避免外部的有害入侵和不良攻击。
转移方式,只有在风险既不能被降低,又不能被规避时,通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险。比如,在本机构不具备足够的安全保障的技术能力时,将信息系统的技术体系(即信息载体部分)外包给满足安全保障要求的第三方机构,
从而避免技术风险。再如,通过给昂贵的设备上保险,将设备损失的风险转移给保险公司, 从而降低资产价值的损失。
接受方式,是选择对风险不采取进一步的处理措施,接受风险可能带来的结果。接受风险的前提是确定了风险的等级,评估了风险发生的可能性以及带来的潜在破坏,分析了使用每种处理措施的可行性,并进行了较全面的成本效益分析,认定某些功能、服务、信息或资产不需要进一步保护。
风险处理的过程包括现存风险判断、处理目标确立、处理措施选择和处理措施实施4个阶段。