7.風險結果判定

風險結果判定階段包括評估風險的等級、綜合評估風險狀況兩個工作過程。

1)評估風險的等級

評估風險的等級，需要依據《風險計算報告》，根據已經制定的風險分級準則，對所有風險計算結果進行等級處理，形成《風險程度等級列表》。

風險等級處理的目的是為風險管理過程中對不同風險的直觀比較，以確定組織安全策略。組織應當綜合考慮風險控制成本與風險造成的影響，提出一個可接受的風險范圍。對某些資產的風險，如果風險計算值在可接受的范圍內，則該風險是可接受的，應保持已有的安全措施；如果風險評估值在可接受的范圍外，即風險計算值高于可接受范圍的上限值，則該風險是不可接受的，需要采取安全措施以降低、控制風險。另一種確定不可接受的風險的辦法是根據等級化處理的結果，不設定可接受風險值的基準，對達到相應等級的風險都進行處理。

　　2)綜合評估風險狀況

綜合評估風險狀況，需要}[總各項輸出文檔和《風險程度等級列表》，綜合評價風險狀況，形成《風險評估報告》。

《風險評估報告》是對整個風險評估過程和結果進行的總結，應詳細說明被評估對象、 風險評估方法、資產、威脅、脆弱性的識別結果、風險分析、風險統計和結論等內容。

《風險評估報告》是組織機構確定信息安全需求的依據，為風險處理活動提供輸入，是后續信息安全建設工作的基礎。