3)處理措施選擇

處理措施選擇階段包括選擇風(fēng)險(xiǎn)處理方式、選擇風(fēng)險(xiǎn)處理措施兩個(gè)工作過(guò)程。

選擇風(fēng)險(xiǎn)處理方式，需要依據(jù)《信息系統(tǒng)的安全要求報(bào)告》、《風(fēng)險(xiǎn)處理需求分析報(bào)告》和《風(fēng)險(xiǎn)處理目標(biāo)列表》，選擇合適的風(fēng)險(xiǎn)處理方式（包括規(guī)避方式、轉(zhuǎn)移方式、降低方式和接受方式），并說(shuō)明選擇的理由以及被選處理方式的使用方法和注意事項(xiàng)等，形成《人選風(fēng)險(xiǎn)處理方式說(shuō)明報(bào)告》。

選擇風(fēng)險(xiǎn)處理措施，需要依據(jù)《風(fēng)險(xiǎn)處理目標(biāo)列表》和《人選風(fēng)險(xiǎn)處理方式說(shuō)明報(bào)告》，并應(yīng)參考ISO/IEC 27001附錄A所列出的控制措施，來(lái)選擇合適的風(fēng)險(xiǎn)處理措施，并說(shuō)明選擇的理由以及被選處理措施的成本、使用方法和注意事項(xiàng)等，形成《人選風(fēng)險(xiǎn)處理措施說(shuō)明報(bào)告》（此報(bào)告應(yīng)包含這些風(fēng)險(xiǎn)處理措施實(shí)施后的詳細(xì)殘余風(fēng)險(xiǎn)清單），并得到信息系統(tǒng)和信息安全風(fēng)險(xiǎn)管理層的認(rèn)可和批準(zhǔn)。