6.6 廢棄階段的風險評估

當信息系統不能滿足現有要求時，信息系統進入廢棄階段。根據廢棄的程度，又分為部分廢棄和全部廢棄兩種。
廢棄階段風險評估著重在以下幾方面：
a）確保硬件和軟件等資產及殘留信息得到了適當的處置，并確保系統組件被合理地丟棄或更換；
b）如果被廢棄的系統是某個系統的一部分，或與其他系統存在物理或邏輯上的連接，還應考慮系統廢棄后與其他系統的連接是否被關閉；
c）如果在系統變更中廢棄，除對廢棄部分外，還應對變更的部分進行評估，以確定是否會增加風險或引入新的風險；
d）是否建立了流程，確保更新過程在一個安全、系統化的狀態下完成。
本階段應重點對廢棄資產對組織的影響進行分析，并根據不同的影響制定不同的處理方式。對由于系統廢棄可能帶來的新的威脅進行分析，并改進新系統或管理模式。對廢棄資產的處理過程應在有效的監督之下實施，同時對廢棄的執行人員進行安全教育。
信息系統的維護技術人員和管理人員均應該參與此階段的評估。