1)現(xiàn)存風險判斷

現(xiàn)存風險判斷階段包括確定可接受風險等級、判斷現(xiàn)存風險是否可接受兩個工作過程。 確定可接受風險等級，需要依據《信息系統(tǒng)的描述報告》、《信息系統(tǒng)的分析報告》、《信息系統(tǒng)的安全要求報告》和《風險評估報告》，確定可接受風險的等級，即把風險評估得出的風險等級劃分為可接受和不可接受兩種，形成《風險接受等級劃分表》。

判斷現(xiàn)存風險是否可接受，需要依據《風險評估報告》和《風險接受等級劃分表》，判斷現(xiàn)存風險是否可接受，形成《現(xiàn)存風險接受判斷書》，并得到信息系統(tǒng)和信息安全風險管理決策層和管理層的認可和批準。如果判斷結果是可接受，則跳出風險處理過程，進入信息安全風險管理的批準監(jiān)督；否則繼續(xù)風險處理過程，進入處理目標確立階段。