风险控制是风险评估完成后实施的行为，是风险管理的第二个过程，它包括对风险评估过程中建议的安全措施进行优先级排序、评估和实现。风险控制不属于风险评估本身的工作内容，但与之密切相关。

   因为消除所有风险往往是不切实际的，甚至也是近乎不可能的，所以高级管理人员和业务职能主管有责任运用最小成本方法来实现最合适的控制，将使命风险降低到一个可接受的级别，使得对单位造成的负面影响最小化。

1 风险控制选项

风险控制是一种系统化方法，高级管理人员可用它来降低使命风险。风险控制可以通过下列措施实现：

?         风险承受：接受潜在的风险并继续运行信息系统，或实现安全措施，以把风险降低到一个可接受的级别。

?         风险规避：通过消除风险的原因和/或后果（如在识别出风险后放弃系统某项功能或关闭系统）来规避风险。

?         风险转移：通过使用其它措施来补偿损失，从而转移风险，如购买保险。

   在选择风险减缓措施时应该考虑单位的目标和使命。要解决所有风险可能是不实际的，所以应该对那些可能给使命带来严重危害的威胁/脆弱性对进行优先级排序。同时，在保护单位的使命及其信息系统时，由于各机构有其特定的环境和目标，因此用来控制风险的措施和实现措施的方法也各有不同。最好的方法是从不同的厂商安全产品中选择最合适的技术，再伴以适当的风险控制措施和非技术类的管理措施。

2 风险控制策略

   高级管理人员和责任人员在了解了潜在风险和安全措施建议后，可能会问：“何时以及何种情况下我该采取行动？何时我该实现这些安全措施来减缓风险，从而保护我的单位及信息系统？”图1所示的风险控制图回答了这个问题。在图中，标有“是”的地方是应该实现安全措施的合适点。

 

 

风险控制措施的实施点

 

    通过下面的规则可以对这一战略作更加清晰的说明，它对于如何采取行动来控制由于故意的人为威胁所带来的风险提供了指导：

?         当存在系统脆弱性（缺陷或弱点）时：减少或修补系统脆弱性，降低脆弱性被攻击的可能性；

?         当系统脆弱性可被恶意攻击时：运用层次化保护、结构化设计、管理控制将风险最小化或防止脆弱性被利用；

?         当攻击者的成本小于攻击的可能所得时：运用保护措施，通过提高攻击者成本来降低攻击者的攻击动机（例如使用系统控制，如限制系统用户的访问对象和行为，这些措施能够大大降低攻击所得）。

?         当损失巨大时：运用系统设计中的基本原则及结构化设计、技术或非技术类保护措施来限制攻击的范围，从而降低可能的损失。

上述的风险减缓策略中除第三条外（“当攻击者的成本小于攻击的可能所得时”）都可运用来减缓由于环境威胁或人员的无意威胁（如系统或用户错误）所带来的风险。

3 安全控制的实现方法

   当必须采取安全控制时，可适用如下规则：

   解决最大的风险，以最小的成本来足够地减缓风险，同时使风险对其它使命能力的影响降至最小。

下列风险控制方法学描述了实现控制的方法：

步骤1——对行动优先级进行排序

基于在风险评估报告中提出的风险级别，对风险控制的实现行动进行优先级排序。在分配资源时，标有不可接受的高等级（例如被定义为“非常高”或“高”风险级的风险）的风险项应该最优先。这些脆弱性/威胁对需要采取立即纠正行动以保护单位的利益和使命。

步骤1输出——从高优先级到低优先级的行动。

步骤2——评估所建议的安全选项

风险评估过程中建议的安全措施对于具体的单位及其信息系统可能不是最适合和最可行的。在这一步中，要对所建议的安全措施的可行性（如兼容性、用户接受程度）和有效性（如保护程度和风险控制的级别）进行分析。目的是选择出最适当的安全措施，使风险降至最低。

步骤2输出——可行安全措施的清单。

步骤3——实施成本效益分析

为了帮助管理层做出决策并找出成本有效性最好的安全控制，要实施成本效益分析。

步骤3输出——成本效益分析，描述实现或拒绝一个安全措施时的成本和效益。

步骤4——选择安全措施

在成本效益分析的基础上，管理人员应确定成本有效性最好的安全措施来降低单位的风险。

步骤4输出——所选择的安全控制。

步骤五——责任分配

遴选出那些拥有合适的专长和技能，可实现所选安全措施的人员（内部人员或外部合同商），并赋以相应责任。

步骤5输出——责任人清单

步骤6——制定安全措施的实现计划

在本步中将制定安全措施的实现计划。这套计划应该至少包括下列信息：

?         风险（脆弱性/威胁对）和相关的风险级别（风险评估报告的输出）

?         所建议的安全措施（风险评估报告的输出）

?         优先的行动（将高优先级赋予“非常高”或“高”风险级的项目）

?         所选择的预期安全控制（基于可行性、有效性、机构的收益和成本来决定）

?         实现预期安全控制时所需的资源

?         负责小组和人员清单

?         开始日期

?         目标完成日期

?         维护要求

步骤6输出——安全措施的实现计划

步骤7——实现所选择的安全措施

根据各自情况的不同，所实现的安全控制可以降低风险级但不会根除风险。实现安全措施后仍然存在的风险为残余风险。

步骤7输出——残余风险清单

上图显示了所推荐的风险控制方法。