风险控制及工作流程风险控制是风险评估完成后实施的行为,是风险管理的第二个过程,它包括对风险评估过程中建议的安全措施进行优先级排序、评估和实现。风险控制不属于风险评估本身的工作内容,但与之密切相关。 因为消除所有风险往往是不切实际的,甚至也是近乎不可能的,所以高级管理人员和业务职能主管有责任运用最小成本方法来实现最合适的控制,将使命风险降低到一个可接受的级别,使得对单位造成的负面影响最小化。1风险控制选项风险控制是一种系统化方法,高级管理人员可用它来降低使命风险。风险控制可以通过下列措施实现:风险承受:接受潜在的风险并继续运行信息系统,或实现安全措施,以把风险降低到一个可接受的级别。风险规避:通过消除风险的原因和/或后果(如在识别出风险后放弃系统某项功能或关闭系统)来规避风险。风险转移:通过使用其它措施来补偿损失,从而转移风险,如购买保险。 在选择风险减缓措施时应该考虑单位的目标和使命。要解决所有风险可能是不实际的,所以应该对那些可能给使命带来严重危害的威胁/脆弱性对进行优先级排序。同时,在保护单位的使命及其信息系统时,由于各
