Những lựa chọn xử lý rủi ro cần phải được chọn lựa dựa trên kết quả của đánh giá rủi ro, chi phí mong muốn cho triển khai các lựa chọn này và các lợi ích mong muốn xuất phát từ những lựa chọn đó.
Cần phải triển khai những lựa chọn khi đạt được những giảm thiểu lớn về rủi ro với chi phí tương đối thấp. Những lựa chọn bổ sung để nâng cấp có thể không mang lại giá trị kinh tế và cần thiết phải thực hiện việc đánh giá để xem xét liệu những lựa chọn đó có hợp lý hay không.
Nhìn chung, những hậu quả tiêu cực của rủi ro cần phải làm thấp đến mức thích hợp và không phân biệt bất kỳ tiêu chí tuyệt đối nào. Những người quản lý cũng cần phải xem xét những rủi ro ít khi xảy ra nhưng lại là những rủi ro nghiêm trọng. Trong những trường hợp này, các biện pháp kiểm soát mà không hoàn toàn phù hợp với hoàn cảnh kinh tế vẫn cần được triển khai (ví dụ như các biện pháp kiểm soát liên tục trong nghiệp vụ được xem xét để biện pháp kiểm soát các rủi ro mức cao).
Hoạt động xử lý rủi ro trong quy trình quản lý rủi ro an toàn thông tin như đã được trình bày trong hình Hình 1.2:
Bốn lựa chọn cho việc xử lý rủi ro không loại trừ lẫn nhau. Đôi khi tổ chức có thể được lợi chắc chắn bởi sự kết hợp những lựa chọn như giảm thiểu khả năng xảy ra rủi ro, giảm thiểu hậu quả rủi ro và chia sẻ hoặc duy trì bất kì rủi ro tồn đọng nào.
Một vài xử lý rủi ro có thể giải quyết một cách hiệu quả nhiều rủi ro (ví dụ như đào tạo và nhận thức an toàn thông tin). Một kế hoạch xử lý rủi ro cần phải nhận biết rõ ràng thứ tự ưu tiên để triển khai xử lý rủi ro theo thời gian định sẵn. Các ưu tiên có thể được thiết lập bằng việc sử dụng các kỹ thuật khác nhau, bao gồm xếp loại các rủi ro và phân tích chi phí - lợi nhuận. Đó là trách nhiệm của những người quản lý của tổ chức để quyết định sự cân đối giữa chi phí triển khai các biện pháp kiểm soát với phân bổ ngân sách.
Việc nhận biết các biện pháp kiểm soát hiện có có thể xác định được các biện pháp kiểm soát đó có vượt quá nhu cầu hiện tại hay không, về mặt đối chiếu chi phí, bao gồm cả duy trì. Nếu có xem xét loại bỏ những biện pháp kiểm soát dư thừa hoặc không cần thiết (đặc biệt nếu những biện pháp kiểm soát này có chi phí duy trì cao), những yếu tố về chi phí và an toàn thông tin cần phải được quan tâm. Do các biện pháp kiểm soát có thể ảnh hưởng lẫn nhau, việc loại bỏ các biện pháp kiểm soát dư thừa có thể làm giảm
Kết quả đánh giá rủi ro
Đánh giá thỏa mãn Lựa chọn xử lý rủi ro Thay đổi rủi ro Duy trì rủi ro Tránh rủi ro Chia sẻ rủi ro Các rủi ro còn lại Xử lý thỏa mãn Đánh giá rủi ro Điểm quyết định 1 Điểm quyết định 2
an toàn tổng thể. Thêm vào đó, chi phí có thể sẽ thấp hơn khi vẫn để lại những biện pháp kiểm soát dư thừa hoặc không cần thiết hơn là loại bỏ chúng.
Những lựa chọn xử lý rủi ro có thể quan tâm đến:
• Các bên bị ảnh hưởng nhận thức rủi ro như thế nào
• Cách thích hợp nhất để truyền thông giữa các bên liên quan
Thiết lập bối cảnh (Tiêu chí ước lượng rủi ro) sẽ cung cấp những thông tin về các yêu cầu về luật pháp và quy định để tổ chức phải tuân thủ. Rủi ro đối với tổ chức là thất bại trong việc tuân thủ và vì vậy cần phải triển khai các lựa chọn xử lý để giới hạn khả năng xảy ra rủi ro đối với tổ chức. Toàn bộ ràng buộc về mặt tổ chức, kỹ thuật, cấu trúc... đã được nhận biết trong suốt quá trình hoạt động thiết lập bối cảnh cần phải được xem xét trong suốt quy trình xử lý rủi ro.
Một khi kế hoạch xử lý rủi ro được vạch rõ, những rủi ro tồn đọng cũng phải được xác định. Điều này liên quan tới việc cập nhật hoặc lặp lại chu trình đánh giá rủi ro, xem xét những tác động mong muốn của việc xử lý rủi ro đã được đề xuất. Nếu những rủi ro tồn đọng vẫn chưa đáp ứng được các tiêu chí chấp nhận rủi ro của tổ chức, cần thiết phải có thêm một chu trình lặp lại của việc đánh giá rủi ro trước khi đi đến quy trình chấp nhận rủi ro.