通过风险评估对风险进行识别后，风险管理的下一步工作就是对风险实施安全控制，以确保风险被降低或消除。为了降低或消除信息安全管理体系范围所涉及到的被评估的风险，组织应识别和选择合理有效的安全控制，使风险降低到组织可接受的水平。安全控制的选择应以风险评估的结果作为依据，与威胁相关联的薄弱点表明什么地方需要保护，且应该采取何种形式的控制。然后组织应根据控制费用与风险平衡的原则，严格实施并保持所选择的安全控制。组织在实施选择的控制后，总是有剩余的风险，组织应按照风险评估确定的风险测量方法对实施安全控制的剩余风险进行重新测量，确定哪些是“可接受的”，哪些是“不可接受的”。对于“不可接受的”风险应该考虑再增加控制，直到将其消除或者降低到可接受的水平。