リスクの低減

• 対象とする脆弱性に対し、情報セキュリティ対策を講じることにより、脅威の発生の可能性を下げること
• 予防や抑止がこれにあたる。

リスクの保有(受容)

• リスクによる影響が小さいので、あえてリスクを低減する対策を行わず、受け入れること
• 許容できるリスクの範囲を超えるが、その時点で実施できる対策が存在しない場合や、人的・経済的コストに見合わないなどの場合も、リスクを受け入れることがある

リスクの回避

• 脅威の発生要因を排除、もしくは全く別の方法に置き換えることにより、リスクが発生する可能性を取り除くこと
• 影響も、発生可能性も高い場合は、回避する

リスクの移転

• リスクを別の組織などに移すことが典型的な例
• サーバの運用を自社でせずに、委託するなど
• 保険に入るなどして、リスクが顕在化した場合に備える例もある