條文6.1.3後面還要求必須要制定一個風險處理計畫，條文本身並未敘述風險處理計畫需要包含甚麼。我們從前後條文來看，風險處理計畫應該要有已選定的風險處理的做法、控制措施、執行情況、風險擁有者及預期降低風險的程度，以這種複雜程度建議還是用表格來分別敘述會比較清楚，因為組織可能會有多項的風險處理項目，舉例來看如何訂定風險處理計畫：
某個組織允許員工將自己的筆記型電腦帶入辦公室進行作業，所以員工筆記型電腦上會儲存公司的業務資訊。經過風險評估後，組織認為如果筆記型電腦遭竊取將會對組織業務資訊造成危害，這項風險已經超出組織可以接受的風險程度，因此決定訂定風險處理計畫。為了降低風險，組織可以採取的作法區分兩項：
(一) 降低可能性(發生機率)
組織訂定相關資訊安全政策，將筆記型電腦內屬於組織業務資訊的保管責任歸屬於員工，要求員工須對組織資產進行保護並負責，組織將定期檢查業務資訊保存情況，使員工更能注意筆記型電腦的保管，降低失竊的機率。
(二) 降低後果(衝擊程度)
組織決定採取行動如下：

1. 將員工筆記型電腦失竊納入資訊安全事件回報。
2. 在員工筆記型電腦安裝加密軟體(保護公司業務資訊)。
3. 執行業務資訊備份作業。
   最初的風險評鑑資料如下：
   

執行上述風險處理計畫後，預估的殘餘風險如下：

風險處理計畫範例如下：

上面的範例只是將基本因素放進去考量，組織應發展適合的相關管控文件，以確認風險處置計畫獲得適切的執行與管控。