7.2 風險處理過程

風險處理的過程包括現存風險判斷、處理目標確立、處理措施選擇和處理措施實施四個階段。在信息安全風險管理過程中，接受風險評估的輸出，為批準監督提供輸入，監控審查和溝通咨詢貫穿其四個階段，如圖13所示。

1、過程

2、說明
如圖14所示，現存風險判斷階段的工作過程和內容如下：
1）確定可接受風險等級。依據信息系統的描述報告、信息系統的分析報告、信息系統的安全要求報告和風險評估報告，確定可接受風險的等級，即把風險評估得出的風險等級劃分為可接受和不可接受兩種，形成風險接受等級劃分表。
2）判斷現存風險是否可接受。依據風險評估報告和風險接受等級劃分表，判斷現存風險是否可接受，形成現存風險接受判斷書。如果判斷結果是可接受，則跳出風險處理過程，進入信息安全風險管理的批準監督；否則繼續風險處理過程，進入處理目標確立階段。現存風險接受判斷書需要得到信息系統和信息安全風險管理決策層的認可和批準。

7.2.2　處理目標確立

1、過程

2、說明

如圖16所示，處理措施選擇階段的工作過程和內容如下：

1）選擇風險處理方式。依據信息系統的安全要求報告、風險處理需求分析報告和風險處理目標列表，選擇合適的風險處理方式（包括接受方式、規避方式、轉移方式和降低方式），并說明選擇的理由以及被選處理方式的使用方法和注意事項等，形成入選風險處理方式說明報告。

2）選擇風險處理措施。依據風險處理目標列表和入選風險處理方式說明報告，充分分析和平衡成本效益，選擇合適的風險處理措施，并說明選擇的理由以及被選處理措施的成本、使用方法和注意事項等，形成入選風險處理措施說明報告。

7.2.4　處理措施實施

1、過程

2、說明
如圖17所示，處理措施實施階段的工作過程和內容如下：
1）制定風險處理實施計劃。依據風險處理需求分析報告、風險處理目標列表、入選風險處理方式說明報告和入選風險處理措施說明報告，制定風險處理的實施計劃，包括風險處理的范圍、對象、目標、組織結構、成本預算和進度安排等，形成風險處理實施計劃書。風險處理實施計劃書需要得到信息系統和信息安全風險管理決策層的認可和批準。
2）實施風險處理措施。依據風險處理實施計劃書、入選風險處理方式說明報告和入選風險處理措施說明報告，實施風險處理措施，并記錄實施的過程和結果，形成風險處理實施記錄。