2)處理目標確立

處理目標確立階段包括確立風險處理需求、確立風險處理目標兩個工作過程。

確立風險處理需求，需要依據《信息系統的描述報告》、《信息系統的分析報告》、 《信息系統的安全要求報告》、《風險評估報告》和《風險接受等級劃分表》，從技術層面（即物理平臺、系統平臺、通信平臺、網絡平臺和應用平臺）、組織層面（即組織結構、崗位和人員）和管理層面（即策略、規章和制度），分析風險處理的需求，形成《風險處理需求分析報告》。

確立風險處理目標，需要依據《風險接受等級劃分表》和《風險處理需求分析報告》， 并應參考ISO/IEC 27001附錄A所列出的控制目標，來確立風險處理的目標，包括處理對象及其最低保護等級，形成《風險處理目標列表》。