7.風(fēng)險(xiǎn)結(jié)果判定

風(fēng)險(xiǎn)結(jié)果判定階段包括評(píng)估風(fēng)險(xiǎn)的等級(jí)、綜合評(píng)估風(fēng)險(xiǎn)狀況兩個(gè)工作過程。

1)評(píng)估風(fēng)險(xiǎn)的等級(jí)

評(píng)估風(fēng)險(xiǎn)的等級(jí)，需要依據(jù)《風(fēng)險(xiǎn)計(jì)算報(bào)告》，根據(jù)已經(jīng)制定的風(fēng)險(xiǎn)分級(jí)準(zhǔn)則，對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理，形成《風(fēng)險(xiǎn)程度等級(jí)列表》。

風(fēng)險(xiǎn)等級(jí)處理的目的是為風(fēng)險(xiǎn)管理過程中對(duì)不同風(fēng)險(xiǎn)的直觀比較，以確定組織安全策略。組織應(yīng)當(dāng)綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，提出一個(gè)可接受的風(fēng)險(xiǎn)范圍。對(duì)某些資產(chǎn)的風(fēng)險(xiǎn)，如果風(fēng)險(xiǎn)計(jì)算值在可接受的范圍內(nèi)，則該風(fēng)險(xiǎn)是可接受的，應(yīng)保持已有的安全措施；如果風(fēng)險(xiǎn)評(píng)估值在可接受的范圍外，即風(fēng)險(xiǎn)計(jì)算值高于可接受范圍的上限值，則該風(fēng)險(xiǎn)是不可接受的，需要采取安全措施以降低、控制風(fēng)險(xiǎn)。另一種確定不可接受的風(fēng)險(xiǎn)的辦法是根據(jù)等級(jí)化處理的結(jié)果，不設(shè)定可接受風(fēng)險(xiǎn)值的基準(zhǔn)，對(duì)達(dá)到相應(yīng)等級(jí)的風(fēng)險(xiǎn)都進(jìn)行處理。

　　2)綜合評(píng)估風(fēng)險(xiǎn)狀況

綜合評(píng)估風(fēng)險(xiǎn)狀況，需要}[總各項(xiàng)輸出文檔和《風(fēng)險(xiǎn)程度等級(jí)列表》，綜合評(píng)價(jià)風(fēng)險(xiǎn)狀況，形成《風(fēng)險(xiǎn)評(píng)估報(bào)告》。

《風(fēng)險(xiǎn)評(píng)估報(bào)告》是對(duì)整個(gè)風(fēng)險(xiǎn)評(píng)估過程和結(jié)果進(jìn)行的總結(jié)，應(yīng)詳細(xì)說明被評(píng)估對(duì)象、 風(fēng)險(xiǎn)評(píng)估方法、資產(chǎn)、威脅、脆弱性的識(shí)別結(jié)果、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)統(tǒng)計(jì)和結(jié)論等內(nèi)容。

《風(fēng)險(xiǎn)評(píng)估報(bào)告》是組織機(jī)構(gòu)確定信息安全需求的依據(jù)，為風(fēng)險(xiǎn)處理活動(dòng)提供輸入，是后續(xù)信息安全建設(shè)工作的基礎(chǔ)。