Der Schritt, in dem eine Organisation entscheidet, wie sie mit jedem bewerteten Risiko umgeht: verringern, akzeptieren, die Tätigkeit vermeiden oder teilen.
Die Risikobehandlung überführt Bewertungsergebnisse in Entscheidungen. Für jedes wesentliche Risiko wählt die Organisation eine Option: das Risiko durch Maßnahmen verringern, es als akzeptiertes Risiko tragen, es durch Verzicht auf die Tätigkeit vermeiden oder es über Versicherung oder Auslagerung teilen.
In einem ISMS werden die zur Risikoverringerung gewählten Maßnahmen in der Anwendbarkeitserklärung festgehalten, und ein Risikobehandlungsplan verfolgt, wie und wann jede umgesetzt wird.
Passende Frameworks
KaitoSec