风险处置策略:
降低风险:实施有效控制,将风险降低到可接受的程度,实际上就是力图减小威胁发生的可能性和带来的影响
规避风险:有时,组织可以选择放弃某些可能引来风险的业务或资产,以此规避风险。
转嫁风险:将风险全部或部分地转移第三方外包,找相关行业其他第三方进行。
接受风险:实施了其他风险应对措施之后,对于残留风险,组织可以选择接受。所谓的无作为。
确定风险可接受水平原则
选择降低的原则,成本效益原则。若是监管方面的是打破成本效益原则的
风险控制措施类别
从针对性和实施方式来看,包括
管理性
操作性
技术性
从功能来看,控制措施包括
威胁性
预防性
检测性
纠正性
评价残余风险
绝对安全是不可能
实施安全控制后有残留风险或残存风险
为了确保信息安全,残留风险在可接受的范围内:
残留风险Rr=原有风险R0-控制R
对残余风险进行确认和评价的过程,其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阈值,以阈值作为是否接受残余风险的标准。
实施安全控制后会有残留风险在可接受范围
