2)處理目標(biāo)確立

處理目標(biāo)確立階段包括確立風(fēng)險(xiǎn)處理需求、確立風(fēng)險(xiǎn)處理目標(biāo)兩個(gè)工作過(guò)程。

確立風(fēng)險(xiǎn)處理需求，需要依據(jù)《信息系統(tǒng)的描述報(bào)告》、《信息系統(tǒng)的分析報(bào)告》、 《信息系統(tǒng)的安全要求報(bào)告》、《風(fēng)險(xiǎn)評(píng)估報(bào)告》和《風(fēng)險(xiǎn)接受等級(jí)劃分表》，從技術(shù)層面（即物理平臺(tái)、系統(tǒng)平臺(tái)、通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)）、組織層面（即組織結(jié)構(gòu)、崗位和人員）和管理層面（即策略、規(guī)章和制度），分析風(fēng)險(xiǎn)處理的需求，形成《風(fēng)險(xiǎn)處理需求分析報(bào)告》。

確立風(fēng)險(xiǎn)處理目標(biāo)，需要依據(jù)《風(fēng)險(xiǎn)接受等級(jí)劃分表》和《風(fēng)險(xiǎn)處理需求分析報(bào)告》， 并應(yīng)參考ISO/IEC 27001附錄A所列出的控制目標(biāo)，來(lái)確立風(fēng)險(xiǎn)處理的目標(biāo)，包括處理對(duì)象及其最低保護(hù)等級(jí)，形成《風(fēng)險(xiǎn)處理目標(biāo)列表》。