7.3　評價方法

風險處理效果評價方法根據風險處理結果不同可以分為殘余風險評價方法和效益評價方法。

a) 殘余風險評價方法：參照《信息安全風險評估規范》（GB/T 20984-2007）中提供的流程和方法，評價實施風險處理后的殘余風險。

b) 效益評價方法：通過分析安全措施產生的直接和間接的經濟社會效益與安全投入之間的成本效益比、所實施的安全措施的成本效益比與可替代安全措施的成本效益比的比值等對所采取的安全措施的效益進行評價。

風險處理效果評價的方法根據評價對象不同可以分為控制措施有效性評價方法和整體風險控制有效性評價方法。

a) 控制措施有效性評價方法：針對每個所選擇的控制措施采用風險評價方法和效益評價方法。

b) 整體風險控制有效性評價：基于業務的風險控制評價，結合風險評估報告中相關信息，綜合評價實施風險處理措施后，殘余安全風險可接受程度以及安全投入的合理性。