企业必须确定可接受的风险级别，以决定是否实施某项措施。在决定是否实施某项措施时，应遵循以下规则：

1)      如果实施降低风险的程度超过了需要的程度，则应选择一种成本较低的替代方案；

2)      如果实施成本高于实施后将获得的收益，则应寻求另一种控制；

3)      如果实施未能充分降低风险水平，则应寻求更有效的控制措施，且成本相似；

4)      如果实施将风险降低到可接受的水平，并且具有成本效益。这项措施应该得到实施。

控制分析的安全策略可以是技术性的，也可以是非技术性的。技术控制是包含在计算机硬件、软件或固件中的安全措施，如访问控制机制、认证机制、加密方法，非技术控制是管理和操作控制，如策略、程序和人员以及环境安全。

上述技术和非技术控制可分为预防控制和检测控制。防止控制会阻止违反安全策略的尝试，同时检测控制会提醒违反或试图违反安全策略。这些控制在风险最小化阶段实施。

【相关素材】略。