五、風險處理
（一）資訊資產列為「風險處理」對象者，應將風險評估之結果提報單位
      主管審查，並將審查結果提報本部資通安全會報（資訊安全執行小
      組），以審查風險改善方式。
      可採用之風險改善方式包括：
      1.規避風險。
      2.降低風險發生機率。
      3.降低風險影響程度。
      4.轉移風險。
      5.接受風險。
（二）超過「可接受風險等級」之風險項目，應擬訂風險改善計畫。
      風險改善計畫之擬訂，應預估完成後殘餘風險是否可降低至可接受
      風險值以下，並考量所需資源、優先順序、責任分配等因素，至少
      包含下列內容：
      1.風險項目。
      2.採取之控制方法。
      3.所需投入資源。
      4.相關負責人員。
      5.預估完成日期。
（三）風險改善計畫應符合整體資訊安全目標。
（四）風險改善計畫執行結束後，應重新評估殘餘風險是否均已降低至可
      接受風險值以下。
（五）風險改善計畫執行之成果應提報本部資通安全會報（資訊安全執行
      小組）之管理審查會議中進行確認。