风险管理过程之风险处理中的现存风险判断

1)现存风险判断

现存风险判断阶段包括确定可接受风险等级、判断现存风险是否可接受两个工作过程。 确定可接受风险等级，需要依据《信息系统的描述报告》、《信息系统的分析报告》、《信息系统的安全要求报告》和《风险评估报告》，确定可接受风险的等级，即把风险评估得出的风险等级划分为可接受和不可接受两种，形成《风险接受等级划分表》。

判断现存风险是否可接受，需要依据《风险评估报告》和《风险接受等级划分表》，判断现存风险是否可接受，形成《现存风险接受判断书》，并得到信息系统和信息安全风险管理决策层和管理层的认可和批准。如果判断结果是可接受，则跳出风险处理过程，进入信息安全风险管理的批准监督；否则继续风险处理过程，进入处理目标确立阶段。