风险管理过程之风险处理中的处理目标确立

2)处理目标确立

处理目标确立阶段包括确立风险处理需求、确立风险处理目标两个工作过程。

确立风险处理需求，需要依据《信息系统的描述报告》、《信息系统的分析报告》、 《信息系统的安全要求报告》、《风险评估报告》和《风险接受等级划分表》，从技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）、组织层面（即组织结构、岗位和人员）和管理层面（即策略、规章和制度），分析风险处理的需求，形成《风险处理需求分析报告》。

确立风险处理目标，需要依据《风险接受等级划分表》和《风险处理需求分析报告》， 并应参考ISO/IEC 27001附录A所列出的控制目标，来确立风险处理的目标，包括处理对象及其最低保护等级，形成《风险处理目标列表》。