3)处理措施选择
处理措施选择阶段包括选择风险处理方式、选择风险处理措施两个工作过程。
选择风险处理方式,需要依据《信息系统的安全要求报告》、《风险处理需求分析报告》和《风险处理目标列表》,选择合适的风险处理方式(包括规避方式、转移方式、降低方式和接受方式),并说明选择的理由以及被选处理方式的使用方法和注意事项等,形成《人选风险处理方式说明报告》。
选择风险处理措施,需要依据《风险处理目标列表》和《人选风险处理方式说明报告》,并应参考ISO/IEC 27001附录A所列出的控制措施,来选择合适的风险处理措施,并说明选择的理由以及被选处理措施的成本、使用方法和注意事项等,形成《人选风险处理措施说明报告》(此报告应包含这些风险处理措施实施后的详细残余风险清单),并得到信息系统和信息安全风险管理层的认可和批准。