四、 風險處理
根據事件情景之風險評估標準排定優先順序的風險列表,選擇風險控制以降低、保持、迴避或轉移風險並確定風險處理計劃,最後提交風險處置計畫和殘餘風險給組織管理者以進行風險接受決策,下圖是典型風險處理的過程:
根據上面的流程,首先必須確認前面風險評估的結果是否符合組織的要求,如果評估結果令人不滿意,可能要重新執行風險評鑑作業;如果沒有問題就要選擇風險處置的方式,區分為以下四種:
(一) 風險降低
透過選擇控制措施,風險級別應該被降低,使之可以進行殘餘風險的再評估並決定是否可被接受。組織需要選擇適當和合理的控制措施,權衡控制措施的獲得、實施、管理、運作、監視和維護的成本與被保護資產的價值,並注意控制措施選擇的限制條件。ISO 27001附錄A提供有關控制措施的具體資訊,組織應適當地挑選並執行這些控制措施,例如前面的清單中有關伺服器被駭客利用漏洞入侵,所對應的控制措施為A.12.6.1 技術脆弱性的管理,執行本項控制措施以定期進行脆弱性的管理、定期更新系統,確保伺服器維持最新的狀態,並配合防火牆設定等,來降低駭客利用漏洞入侵的風險。
(二) 風險保持
根據風險評估,決定不採取進一步的活動而保持風險,如果風險等級滿足風險接受準則,則不需要實施額外的控制措施,這與ISO/IEC 27001中「在明顯滿足組織方針策略和接受風險準則的條件下,有意識地接受可能的風險」所表達的意思相同,表示組織決定接受這些風險、不採取任何的行動,在表五、風險接受準則範例的矩陣圖中,組織可以設定本次風險評鑑作業可接受的風險值。以表五為例,風險等級從0到8,設定可接受風險值為6,6以下均不處理,高於6就要訂定風險處理計畫。
(三) 風險迴避
當所識別的風險,其控制措施成本太高,已超過資訊資產價值或組織願意付出的水平時,則採取規避可能導致特定風險之活動或條件的作法。比如對於來自自然災害的風險,組織選擇將資訊處理設施實體轉移到沒有風險或風險受控的位置,可能是最符合成本經濟效益的選擇,例如:機房設置於地下室,並曾有淹水的紀錄,所以組織決定搬遷機房至不容易淹水的樓層。
(四) 風險轉移
根據風險評估結果,對於特定風險最有效的管理,可能是將風險轉移給其他方。採取此種方式須考量涉及與外部分擔風險的決策、會不會產生新的風險或改變現有的及已識別的風險,例如:可以通過保險來分擔後果(資安險),或者將制止攻擊的職責委外給合作夥伴(ISP阻擋服務),但必須注意的是有些風險是無法轉移的,例如:法律責任、負面影響,舉例來說:如果採用雲端服務儲存企業所保有的個人資料,如果有外洩的情況發生,法律責任還是由企業來負責,對企業聲譽上的損害也是相同的,無法轉移到雲端服務的提供者身上。