风险结果判定

7.风险结果判定

风险结果判定阶段包括评估风险的等级、综合评估风险状况两个工作过程。

1)评估风险的等级

评估风险的等级，需要依据《风险计算报告》，根据已经制定的风险分级准则，对所有风险计算结果进行等级处理，形成《风险程度等级列表》。

风险等级处理的目的是为风险管理过程中对不同风险的直观比较，以确定组织安全策略。组织应当综合考虑风险控制成本与风险造成的影响，提出一个可接受的风险范围。对某些资产的风险，如果风险计算值在可接受的范围内，则该风险是可接受的，应保持已有的安全措施；如果风险评估值在可接受的范围外，即风险计算值高于可接受范围的上限值，则该风险是不可接受的，需要采取安全措施以降低、控制风险。另一种确定不可接受的风险的办法是根据等级化处理的结果，不设定可接受风险值的基准，对达到相应等级的风险都进行处理。

　　2)综合评估风险状况

综合评估风险状况，需要}[总各项输出文档和《风险程度等级列表》，综合评价风险状况，形成《风险评估报告》。

《风险评估报告》是对整个风险评估过程和结果进行的总结，应详细说明被评估对象、 风险评估方法、资产、威胁、脆弱性的识别结果、风险分析、风险统计和结论等内容。

《风险评估报告》是组织机构确定信息安全需求的依据，为风险处理活动提供输入，是后续信息安全建设工作的基础。