如果把风险评估比喻为是“对症”的过程,那么风险应对就可以认为是“下药”的过程。无论我们进行了多少复杂和专业的评估流程,都不能改变组织的安全现状,对安全现状的改变集中在风险应对阶段。可见,没有风险评估,风险应对是盲目的,是“无的放矢”的;没有风险应对,风险评估是徒劳的,是“纸上谈兵”的过程。
风险应对的选项,总结为四种基本途径:
1)减缓风险 采取合适的措施,把风险降低到可以接受的程度。
2)接受风险 一般被接受的接受风险一类是风险小,另一类是通过成本效益分析后控制风险成本过高,而其他选项又难以实施。
3)规避风险 直接消极地规避某些风险,但不是所有的风险都可以消极规避,例如,一个组织可以通过禁止网络连接来避免远程攻击,专业的电子商务网站就不能通过禁止网络连接来消除远程攻击的风险。
4)转移风险 转移风险可以应用的范围很小,例如产品没有出保质期,这样可用性面临的风险就部分地转移给供应商。