3)處理措施選擇

處理措施選擇階段包括選擇風險處理方式、選擇風險處理措施兩個工作過程。

選擇風險處理方式，需要依據《信息系統的安全要求報告》、《風險處理需求分析報告》和《風險處理目標列表》，選擇合適的風險處理方式（包括規避方式、轉移方式、降低方式和接受方式），并說明選擇的理由以及被選處理方式的使用方法和注意事項等，形成《人選風險處理方式說明報告》。

選擇風險處理措施，需要依據《風險處理目標列表》和《人選風險處理方式說明報告》，并應參考ISO/IEC 27001附錄A所列出的控制措施，來選擇合適的風險處理措施，并說明選擇的理由以及被選處理措施的成本、使用方法和注意事項等，形成《人選風險處理措施說明報告》（此報告應包含這些風險處理措施實施后的詳細殘余風險清單），并得到信息系統和信息安全風險管理層的認可和批準。