完善的風險評鑑過程就是注重高風險領域的管理。儘管風險評鑑無重大風險，還是建議從常見的問題中選取一些來進行風險處理。

通常，風險評鑑完成後，我們會按照風險等級對各項資訊資產進行整理，並優先考慮前20%的高風險項目，進行風險處理。風險處理包括了採取措施降低特定的弱點或威脅。例如，當一資訊系統中有過多的使用者具有管理權限時，我們可以移除非必要的管理員；當系統過於敏感時，像是email系統，則可以考慮集中管理。

即使沒有識別出顯著的風險，我們仍應該注意那些即將到達終止支援期(EOS)的系統版本，並考慮進行升級。

資訊安全管理就是將這一切文件化，實際有做就文件化並且由主管簽核；而非做了不說、或是說了不做。做了要有文件記錄並給主管簽章、說了要記錄並追蹤。

就算無法處理，我們還有最終大招就是風險接受，此時請主管簽章認同無法處理該風險。

一般來說，如果沒錢執行的話，主管就會爭取額外預算；真的沒有資源，可能就會要求關閉系統。

完成風險處理之後，我們將進行另一輪的風險評鑑，這次稱為風險再評鑑。

這兩天介紹的流程的資訊資產盤點→資訊資產分級→風險評鑑→風險處理→風險再評鑑，是每年資訊安全管理的例行基礎業務，這絕非資安人員一人可獨立完成的任務。

因此，請務必做好前幾天說的資安窗口聯絡，並將資安文件做的時候考慮使用者習慣，以人為本，盡量不要提高工作負擔。

至此，已經完成80%的工作，但這才第6天，因為資安法還有很多需要做的...