风险处理是风险管理的主体，为缓解风险做出直接贡献，其手段包括风险规避、风险转移、风险降低和风险接受四种风险处理方式及其相应活动。首先，对风险评估阶段输出的关于风险评价的结果，依据背景建立阶段确立的风险接受标准，判定哪些风险是可接受的，哪些是不可接受。然后，对于那些可接受的风险，只需进行必要的风险接受处理后，便可进入监视与评审阶段，以保持对其变化的注视；对于那些不可接受的风险，需要在风险规避、风险转移和风险降低中选择合适的处理方式。在许多情况下，一种处理方式不太可能是一个完整的解决方案，需要多种处理方式的组合。在实施了所选处理方式之后，再次进行风险接受判断，即对残余风险进行是否可接受的判断。如果仍然不可接受，或者继续挖掘风险处理的潜力，以期风险的进一步缓解；或者重新回到背景建立阶段，以期通过调整背景因素来改变风险，并经过风险评估后为风险处理提供新的可能。
    监视与评审是风险管理的监查，为有效管理风险提供保障，其途径是持续监视所有风险要素、 风险管理要素和风险管理过程整体状态的变化，检查这些要素的符合性和有效性，进而把握风险管理过程的整体状态。
    沟通与咨询是风险管理的通道，为顺畅管理风险提供保障，其做法是在适当的时候就风险要素、风险管理要素和风险管理过程整体在机构内部和外部方中进行沟通和咨询，其途径和作用在于通过畅通的交流和充分的沟通，达成相关人员认知的相互理解和行动的协调一致；通过有效的培训和便捷的咨询，保证相关人员具有足够的知识和技能。
    第一轮风险管理周期的工作是开创性的，应该本着可持续发展的原则全面考虑，为今后的工作打好基础。风险管理过程是持续的、循序渐进的过程，不是一两轮就能解决全部问题，况且新的问题会不断出现。任何新的一轮风险管理周期的工作都是建立的前面各轮工作结果的基础上，是对现有风险管理的改进和完善。监视与评审和沟通与咨询自始至终贯穿于整个风险管理周期，是风险管理得以有效发挥和顺畅进行的保障。
    七、信息安全风险管理的运用时空
    从时间角度看，信息安全风险管理应贯穿信息资产（包括信息、信息系统和支撑环境）的整个生命周期。信息资产生命周期与系统开发生命周期（SDLC，System Development Life Cycle）一样，一般包括规划、设计、实施、运维和废弃五个基本阶段。当系统的业务目标和需求或者技术和管理环境发生重大变化时，需要重复这五个阶段。因此，构成了一个螺旋式上升的循环，使得系统保持对自身和环境变化的适应并得到不断的改进和提高。 信息安全风险管理与信息资产生命周期和信息安全目标均为直交关系，构成一个三维结构，如图5所示。
    图5 信息安全风险管理、信息资产生命周期和
    信息安全目标的三维结构关系
    三维结构关系表达了信息安全风险管理的整个过程分别体现在信息资产生命周期的各个阶段，且内容上分别反映各个阶段的特性及其信息安全目标。信息资产生命周期各阶段的特性及其信息安全目标的保证级别随着机构特点的不同而不同，也就是说，不同的机构在信息资产生命周期的不同阶段，对信息安全基本属性的要求和侧重不同。因此，机构应开发和运用适合自身实际情况的信息安全风险管理。
    信息安全风险管理的循环过程嵌套在信息资产生命周期的循环过程之中。如果将信息资产生命周期的循环过程拉直到时间轴上，可以更清晰地看出两者的过程嵌套关系，如图6所示。
    图6 信息安全风险管理和信息资产

(责任编辑：adminadmin2008)