1)現(xiàn)存風(fēng)險(xiǎn)判斷

現(xiàn)存風(fēng)險(xiǎn)判斷階段包括確定可接受風(fēng)險(xiǎn)等級(jí)、判斷現(xiàn)存風(fēng)險(xiǎn)是否可接受兩個(gè)工作過程。 確定可接受風(fēng)險(xiǎn)等級(jí)，需要依據(jù)《信息系統(tǒng)的描述報(bào)告》、《信息系統(tǒng)的分析報(bào)告》、《信息系統(tǒng)的安全要求報(bào)告》和《風(fēng)險(xiǎn)評(píng)估報(bào)告》，確定可接受風(fēng)險(xiǎn)的等級(jí)，即把風(fēng)險(xiǎn)評(píng)估得出的風(fēng)險(xiǎn)等級(jí)劃分為可接受和不可接受兩種，形成《風(fēng)險(xiǎn)接受等級(jí)劃分表》。

判斷現(xiàn)存風(fēng)險(xiǎn)是否可接受，需要依據(jù)《風(fēng)險(xiǎn)評(píng)估報(bào)告》和《風(fēng)險(xiǎn)接受等級(jí)劃分表》，判斷現(xiàn)存風(fēng)險(xiǎn)是否可接受，形成《現(xiàn)存風(fēng)險(xiǎn)接受判斷書》，并得到信息系統(tǒng)和信息安全風(fēng)險(xiǎn)管理決策層和管理層的認(rèn)可和批準(zhǔn)。如果判斷結(jié)果是可接受，則跳出風(fēng)險(xiǎn)處理過程，進(jìn)入信息安全風(fēng)險(xiǎn)管理的批準(zhǔn)監(jiān)督；否則繼續(xù)風(fēng)險(xiǎn)處理過程，進(jìn)入處理目標(biāo)確立階段。