2)处理目标确立
处理目标确立阶段包括确立风险处理需求、确立风险处理目标两个工作过程。
确立风险处理需求,需要依据《信息系统的描述报告》、《信息系统的分析报告》、 《信息系统的安全要求报告》、《风险评估报告》和《风险接受等级划分表》,从技术层面(即物理平台、系统平台、通信平台、网络平台和应用平台)、组织层面(即组织结构、岗位和人员)和管理层面(即策略、规章和制度),分析风险处理的需求,形成《风险处理需求分析报告》。
确立风险处理目标,需要依据《风险接受等级划分表》和《风险处理需求分析报告》, 并应参考ISO/IEC 27001附录A所列出的控制目标,来确立风险处理的目标,包括处理对象及其最低保护等级,形成《风险处理目标列表》。