1)現存風險判斷

現存風險判斷階段包括確定可接受風險等級、判斷現存風險是否可接受兩個工作過程。 確定可接受風險等級，需要依據《信息系統的描述報告》、《信息系統的分析報告》、《信息系統的安全要求報告》和《風險評估報告》，確定可接受風險的等級，即把風險評估得出的風險等級劃分為可接受和不可接受兩種，形成《風險接受等級劃分表》。

判斷現存風險是否可接受，需要依據《風險評估報告》和《風險接受等級劃分表》，判斷現存風險是否可接受，形成《現存風險接受判斷書》，并得到信息系統和信息安全風險管理決策層和管理層的認可和批準。如果判斷結果是可接受，則跳出風險處理過程，進入信息安全風險管理的批準監督；否則繼續風險處理過程，進入處理目標確立階段。