3)處理措施選擇

處理措施選擇階段包括選擇風(fēng)險處理方式、選擇風(fēng)險處理措施兩個工作過程。

選擇風(fēng)險處理方式，需要依據(jù)《信息系統(tǒng)的安全要求報告》、《風(fēng)險處理需求分析報告》和《風(fēng)險處理目標(biāo)列表》，選擇合適的風(fēng)險處理方式（包括規(guī)避方式、轉(zhuǎn)移方式、降低方式和接受方式），并說明選擇的理由以及被選處理方式的使用方法和注意事項等，形成《人選風(fēng)險處理方式說明報告》。

選擇風(fēng)險處理措施，需要依據(jù)《風(fēng)險處理目標(biāo)列表》和《人選風(fēng)險處理方式說明報告》，并應(yīng)參考ISO/IEC 27001附錄A所列出的控制措施，來選擇合適的風(fēng)險處理措施，并說明選擇的理由以及被選處理措施的成本、使用方法和注意事項等，形成《人選風(fēng)險處理措施說明報告》（此報告應(yīng)包含這些風(fēng)險處理措施實施后的詳細(xì)殘余風(fēng)險清單），并得到信息系統(tǒng)和信息安全風(fēng)險管理層的認(rèn)可和批準(zhǔn)。