本篇延續Day 11 的步驟往下說明，下一個步驟是

導入風險應對計劃

風險應對計畫的內涵就是確保各項安全控制可以保護資安財產。員工在執行或採用這些控制時必須清楚知道各自角色的資安責任與義務，才能有效的發揮這些安全控制的功能。

ISO27001裡有推薦四個對策供企業思考該採用哪些控制:

1.調整風險: 通過控制的介入將風險的可能性降低。明訂相關政策要求員工必須確實保管工作用筆電，降低於筆電內之公司資料遺失的可能性。

2.避免風險: 直接放棄執行可能產生特定風險的行為。通常會選擇通過放棄特定程序而避免產生風險的原因都是該風險太難抑制與掌握，同時一旦發生又會對企業造成重大的傷害。譬如，為了降低公司資料被外界竊取、洩漏，可以明定員工只能使用公司電腦辦公並且不得攜出公司。

3.分散風險: 這種做法通常是指將風險分散給第三方企業。可以是購買其他資安軟體系統或是委外完成資安體系，或是如前篇提到的與保險公司合作。

4. 容忍風險: 這種做法是在機會成本的評估下所做的決定。代表處理該風險的成本大於風險帶來的侵害，所以直接選擇與風險共存。

控制的選擇方面，ISO27001裡的附件(Annex A)也有名列，總共114項控制，可分為14個控制類別。

資訊安全管理政策: 由此定義管理階層在資安面向上於符合商業要求與規範的前提下會提供的資源協助。
資訊安全組織: 釐清資安小組與各部門之間的職責關係。
人力資源安全: 讓員工明白在到職前、在職與離職後所需背負的資安義務與責任有哪些。
財產管理: 明定企業內部的財產歸屬與維護的責任。
存取權控管: 確保員工只能夠存取符合自己職責所需的資訊。
電腦加密: 利用密碼學去提升資料的機密性與完整性。
實體與環境安全: 針對設備實機的操作保護與環境保護。
作業安全: 確保相關單位在正確且安全地使用資訊處理設施。
通訊安全: 保護在網路內流串的資料安全。
系統獲取、發展與維護: 確保資訊系統從頭到尾都有考量與納入資安環節。
供應商關係: 確保企業內會接觸供應商的機台資安，並與供應生在資安準則上達成共識
資訊安全事故管理: 針對資安事件的回報、分析、檢討、究責等進行控制。
資安面向的營運持續管理(資安上的BCM): 在營運持續管理機制上必須納入對於資安的需求與標準。
合規: 確保資安政策或標準的導入不會與地方法規或國家法規衝突且與企業內的規範亦不牴觸。