4.4　風險處理的基本流程

風險處理的基本流程包括了三個階段的工作，分別為風險處理準備階段、風險處理實施階段和風險處理效果評價階段，如圖1所示。

第一個步驟是風險處理準備，確定風險處理的范圍，明確風險處理的依據，組建風險處理團隊，設定風險處理的目標和可接受準則，選擇風險處理方式，明確風險處理資源，形成風險處理計劃，并得到管理層對風險處理計劃的批準。第二個步驟是風險處理實施，準備風險處理備選措施，進行成本效益分析和殘余風險分析，對處理措施進行風險分析并制定應急計劃，編制風險處理方案，待處理方案獲得批準后，要對風險處理措施進行測試，測試完成后，正式實施。在處理措施的實施過程中，要加強監管與審核。第三個步驟是風險處理效果評價，制定評價原則和方案，開展評價實施工作，對沒有達到處理目的的風險，要進行持續改進。風險處理工作是持續性的活動，當受保護系統的政策環境、業務目標、安全目標和特性發生變化時，需要再次進入上述步驟。

在本文件的第5章到第7章，對信息安全風險處理實施過程的上述3個步驟的概念、過程、工作內容、輸出文檔等進行了闡述。