组织根据控制费用与风险平衡的原则识别并选择了安全控制措施后，对所选择的安全控制应当严格实施并保持，通过以下途径达到降低风险的目的：
避免风险：例如，将重要的计算机与Internet隔离，使之免受外部网络的攻击；
转移风险：例如，通过购买商业保险将风险转移，或将高风险的信息处理业务外包给第三方；
减少威胁：例如，建立并实施恶意软件控制程序，减少信息系统受恶
意软件攻击的机会；
减少脆弱性：例如，经常性地为系统安装补丁，修补系统漏洞，以防止系统脆弱性被利用；
减少威胁可能的影响：例如，建立业务持续性计划，把灾难造成的损失降到最低；
检测意外事件，并做出响应和恢复：例如，使用网络管理系统对网络性能与故障进行监测，及时发现问题并做出反应。