4.2 處置( Treating)安全風險。本節的描述要比GB/T 22080-2008／IS()/IEC 27001: 2005明確得多?！霸诳紤]風險處置前，組織宜確定風險是否能被接受的準則。如果經評估顯示，風險較低或處理成本對于組織來說不劃算，則風險可被接受?！北径蚊枋觯?比較清晰地說明了風險接受的原則。

和GB/T 22080-2008／ISO/IEC 27001: 2005一樣，在本標準中也給出了四個常見的風險處置選項：處理、轉移、規避和接受。

對風險處理決定中要采用適當控制措施的那些風險來說，宜選擇和實施這些控制措施以滿足風險評估所識別的要求。控制措施應確保在考慮以下因素的情況下，將風險降低到可接受級別：

a)國家和國際法律法規的要求和約束；

b)組織的目標；

c)運行要求和約束；

d)降低風險相關的實施和運行的成本，并使之與組織的要求和約束相稱； e)平衡控制措施實施和運行的投資與安全失誤可能導致的損害的需要。

控制措施可以從本標準或其他控制集合中選擇，或者設計新的控制措施以滿足組織的特定需求。認識到有些控制措施并不是對每一種信息系統或環境都適用，并且不是對所有組織都可行，這一點非常重要。例如，10.1.3描述如何分割責任，以防止欺詐或錯誤。在較小的組織中分割所有責任是不太可能的，實現同一控制目標的其他方法可能是必要的。另外一個例子，10. 10描述如何監視系統使用及如何收集證據。所描述的控制措施，例如事件日志， 可能與適用的法律相沖突，諸如顧客或在工作場地內的隱私保護。

信息安全控制措施應在系統和項目需求說明書和設計階段予以考慮。做不到這一點可能導致額外的成本和低效率的解決方案，最壞的情況下可能達不到足夠的安全。

此外，還指明了“控制措施可以從本標準或其他控制措施集中選擇，或者設計新的控制措施以滿足組織的特定需求”，但是同時指出“宜謹記，沒有一個控制措施集合能實現全部的安全(It should be kept in mind that no set of controls can achieve complete security)"。