处置( Treating)安全风险

4.2 处置( Treating)安全风险。本节的描述要比GB/T 22080-2008／IS()/IEC 27001: 2005明确得多。“在考虑风险处置前，组织宜确定风险是否能被接受的准则。如果经评估显示，风险较低或处理成本对于组织来说不划算，则风险可被接受。”本段描述， 比较清晰地说明了风险接受的原则。

和GB/T 22080-2008／ISO/IEC 27001: 2005一样，在本标准中也给出了四个常见的风险处置选项：处理、转移、规避和接受。

对风险处理决定中要采用适当控制措施的那些风险来说，宜选择和实施这些控制措施以满足风险评估所识别的要求。控制措施应确保在考虑以下因素的情况下，将风险降低到可接受级别：

a)国家和国际法律法规的要求和约束；

b)组织的目标；

c)运行要求和约束；

d)降低风险相关的实施和运行的成本，并使之与组织的要求和约束相称； e)平衡控制措施实施和运行的投资与安全失误可能导致的损害的需要。

控制措施可以从本标准或其他控制集合中选择，或者设计新的控制措施以满足组织的特定需求。认识到有些控制措施并不是对每一种信息系统或环境都适用，并且不是对所有组织都可行，这一点非常重要。例如，10.1.3描述如何分割责任，以防止欺诈或错误。在较小的组织中分割所有责任是不太可能的，实现同一控制目标的其他方法可能是必要的。另外一个例子，10. 10描述如何监视系统使用及如何收集证据。所描述的控制措施，例如事件日志， 可能与适用的法律相冲突，诸如顾客或在工作场地内的隐私保护。

信息安全控制措施应在系统和项目需求说明书和设计阶段予以考虑。做不到这一点可能导致额外的成本和低效率的解决方案，最坏的情况下可能达不到足够的安全。

此外，还指明了“控制措施可以从本标准或其他控制措施集中选择，或者设计新的控制措施以满足组织的特定需求”，但是同时指出“宜谨记，没有一个控制措施集合能实现全部的安全(It should be kept in mind that no set of controls can achieve complete security)"。