2.3.2 轉移風險：通過將麵臨風險的資產或其價值轉移到更安全的地方來避免或降低風險。通常隻有當風險不能被降低或避免、且被第三方（被轉嫁方）接受時才被采用。一般用於那些低概率、但一旦風險發生時會對組織產生重大影響的風險。在本機構不具備足夠的安全保障的技術能力時，將信息係統的技術體係（即信息載體部分）外包給滿足安全保障要求的第三方機構，從而避免技術風險。通過給昂貴的設備上保險，將設備損失的風險轉移給保險公司，從而降低資產價值的損失。

2.4 批準監督。批準：是指機構的決策層依據風險評估和風險處理的結果是否滿足信息係統的安全要求，做出是否認可風險管理活動的決定。監督：是指檢查機構及其信息係統以及信息安全相關的環境有無變化，監督變化因素是否有可能引入新風險。

2.5 監控審查的意義，監控與審查可以及時發現已經出現或即將出現的變化、偏差和延誤等問題，並采取適當的措施進行控製和糾正，從而減少因此造成的損失，保證信息安全風險管理主循環的有效性。

3.安全風險評估實踐與國家相關政策

3.1 國家對開展風險評估工作的政策要求

3.1.1 信息化領導小組關於加強信息安全保障工作的意見》（中辦發[2003]27號）中明確提出：“要重視信息安全風險評估工作，對網絡與信息係統安全的潛在威脅、薄弱環節、防護措施等進行分析評估，綜合考慮網絡與信息係統的重要性、涉密程度和麵臨的信息安全風險等因素，進行相應等級的安全建設和管理”

3.1.2 《國家網絡與信息安全協調小組〈關於開展信息安全風險評估工作的意見〉》（國信辦【2006】5號文）中明確規定了風險評估工作的相關要求：風險評估的基本內容和原則；風險評估工作的基本要求；開展風險評估工作的有關安排。

3.2 《關於開展信息安全風險評估工作的意見》的實施要求

3.2.1 信息安全風險評估工作應當貫穿信息係統全生命周期。在信息係統規劃設計階段，通過信息安全風險評估工作，可以明確信息係統的安全需求及其安全目標，有針對性地製定和部署安全措施，從而避免產生欠保護或過保護的情況。

3.2.2 在信息係統建設完成驗收時，通過風險評估工作可以檢驗信息係統是否實現了所設計的安全功能，是否滿足了信息係統的安全需求並達到預期的安全目標。

3.3 《關於開展信息安全風險評估工作的意見》的管理要求

3.3.1 信息安全風險評估工作敏感性強，涉及係統的關鍵資產和核心信息，一旦處理不當，反而可能引入新的風險，《意見》強調，必須高度重視信息安全風險評估的組織管理工作。

3.3.2 為規避由於風險評估工作而引入新的安全風險，《意見》提出以下要求：（1）參與信息安全風險評估工作的單位及其有關人員必須遵守國家有關信息安全的法律法規，並承擔相應的責任和義務。（2）風險評估工作的發起方必須采取相應保密措施，並與參與評估的有關單位或人員簽訂具有法律約束力的保密協議。（3）對關係國計民生和社會穩定的基礎信息網絡和重要信息係統的信息安全風險評估工作必須遵循國家的有關規定進行。

3.3.3 加快製定和完善信息安全風險評估有關技術標準，盡快完善並頒布《信息安全風險評估指南》和《信息安全風險管理指南》等國家標準，各行業主管部門也可根據本行業特點製定相應的技術規範。

3.4 2071號文件對電子政務提出要求

為落實《國家電子政務工程建設項目管理暫行辦法》（發改委[2007]55號令）對風險評估的要求，發改高技【2008】2071號文件《關於加強國家電子政務工程建設項目信息安全風險評估工作的通知》提出了具體要求：（相當於“信息安全審計”）電子政務工程建設項目應開展信息安全風險評估工作；評估的主要內容應包含：資產、威脅、脆弱性、已有的安全措施和殘餘風險的影響等；項目建設單位應在試運行期間開展風險評估工作，作為項目驗收的重要依據；項目驗收申請時，應提交信息安全風險評估報告；係統投入運行後，應定期開展信息安全風險評估。