组织根据控制费用与风险平衡的原则识别并选择了安全控制措施后,对所选择的安全控制应当严格实施并保持,通过以下途径达到降低风险的目的:
避免风险:例如,将重要的计算机与Internet隔离,使之免受外部网络的攻击;
转移风险:例如,通过购买商业保险将风险转移,或将高风险的信息处理业务外包给第三方;
减少威胁:例如,建立并实施恶意软件控制程序,减少信息系统受恶
意软件攻击的机会;
减少脆弱性:例如,经常性地为系统安装补丁,修补系统漏洞,以防止系统脆弱性被利用;
减少威胁可能的影响:例如,建立业务持续性计划,把灾难造成的损失降到最低;
检测意外事件,并做出响应和恢复:例如,使用网络管理系统对网络性能与故障进行监测,及时发现问题并做出反应。
