接受风险的准则
描述一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大、社会影响恶劣。一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害。一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大。一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决。一旦发生造成的影响几乎不存在，通过简单的措施就能弥补。
降低风险Treat
接受风险Tolerate
转移风险Tra
sfer
规避风险Termi
ate
通过风险评估，确定对连续性的潜在威胁和威胁成为现实的可能性，并管理已确定的威胁；
当有全新的或变更的IT基础架构或IT服务时，流程经理对相关场景
进行可能性、破坏性、风险等级、接受风险的准则进行评估，并
输出《风险评估报告》；
《风险评估报告》需送交部门主管审核。
5421定义威胁：
f罗列出可能使用业务影响分析中判定的最紧急活动发生中断的内外部威胁，具体情况请参考《风险评估报告》内容；
建立风险的概率和影响评估评分体系，并得到部门主管批准；
依照评分体系确定每个威胁发生的概率和权重；通过一致的公式，综合影响和概率的得分，计算每一种威
胁的风险值；评审风险赋值的结果；根据风险等级对威胁进行优先次序排列；识别不可接受风险或单点故障；推荐行动措施，能够切实可行减少对企业最紧急活动发生
中断的威胁。5422分析风险：
威胁通常是指故意的、意外的或环境的自然的的外来损害，在某些条件下，将导致对资产的影响，如：火灾、洪水、电力失效、员工短缺、员工旷工和硬件故障等；
脆弱性又称弱点或漏洞，是资产或资产组中存在的可能被威胁利用造成损害的薄弱环节，脆弱性一旦被威胁成功利用就可能对资产造成损害。可能表现为资源漏洞，并要某些条件下被威胁所利用，如：单点失效、不充分的消防防护、电力健康情况、人员配备水平、IT安全和IT健康度等；
影响可源自威胁对脆弱性的利用。5423定义可接受级别；不论选择了哪种风险评估，都需要定义风险
可接受级别。5424定义可接受风险的准则：
f降低风险Treat，业务连续性如果业务连续性作为关键产品或服务的被选策略，应建立恢复时间目标RTO，并对照该目标的连续性策略进行评估；业务连续性寻求提高组织对中断的健康度，保证关键活动按业务影响分析所规定的最低可接受水平和时间框架持r