7.風(fēng)險結(jié)果判定

風(fēng)險結(jié)果判定階段包括評估風(fēng)險的等級、綜合評估風(fēng)險狀況兩個工作過程。

1)評估風(fēng)險的等級

評估風(fēng)險的等級，需要依據(jù)《風(fēng)險計算報告》，根據(jù)已經(jīng)制定的風(fēng)險分級準(zhǔn)則，對所有風(fēng)險計算結(jié)果進行等級處理，形成《風(fēng)險程度等級列表》。

風(fēng)險等級處理的目的是為風(fēng)險管理過程中對不同風(fēng)險的直觀比較，以確定組織安全策略。組織應(yīng)當(dāng)綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響，提出一個可接受的風(fēng)險范圍。對某些資產(chǎn)的風(fēng)險，如果風(fēng)險計算值在可接受的范圍內(nèi)，則該風(fēng)險是可接受的，應(yīng)保持已有的安全措施；如果風(fēng)險評估值在可接受的范圍外，即風(fēng)險計算值高于可接受范圍的上限值，則該風(fēng)險是不可接受的，需要采取安全措施以降低、控制風(fēng)險。另一種確定不可接受的風(fēng)險的辦法是根據(jù)等級化處理的結(jié)果，不設(shè)定可接受風(fēng)險值的基準(zhǔn)，對達到相應(yīng)等級的風(fēng)險都進行處理。

　　2)綜合評估風(fēng)險狀況

綜合評估風(fēng)險狀況，需要}[總各項輸出文檔和《風(fēng)險程度等級列表》，綜合評價風(fēng)險狀況，形成《風(fēng)險評估報告》。

《風(fēng)險評估報告》是對整個風(fēng)險評估過程和結(jié)果進行的總結(jié)，應(yīng)詳細(xì)說明被評估對象、 風(fēng)險評估方法、資產(chǎn)、威脅、脆弱性的識別結(jié)果、風(fēng)險分析、風(fēng)險統(tǒng)計和結(jié)論等內(nèi)容。

《風(fēng)險評估報告》是組織機構(gòu)確定信息安全需求的依據(jù)，為風(fēng)險處理活動提供輸入，是后續(xù)信息安全建設(shè)工作的基礎(chǔ)。