根据与这些信息资产有关的主要威胁和脆弱性，以及当前采取的控制措施，评价安全问题出现的可能性。

根据《信息安全风险管理程序》，计算风险系数。

根据风险评价的结果，决定风险是否接受或应采取的处理措施。

6.1.3信息安全风险处置

1)  确定和评价提供处理风险的可选措施

总裁办根据风险评价的结果，确定可接受风险的水平，决定风险处理措施，包括以下内容：

使用合适的控制措施接受风险，但应保证该风险在可接受水平，并应保证符合公司的信息安全方针避免风险、转移风险。

2)  选择处理风险的控制目标和控制措施

总裁办负责从GB/T 22080-2017/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》附录A中选择适当的控制目标和控制措施，如有必要可在GB/T 22080-2017/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》附录A范围之外增加额外的控制目标和控制措施，但应对这些额外的控制目标和控制措施予以记录。

3)  残余风险的确认

总裁办应对采取控制措施后的残余风险予以预测，由公司管理层批准残余风险（见《风险评估报告》）。

4)  由公司管理层授权实施和运作ISMS/ITSMS（见：手册“发布令”页）。

5)  适用性声明

“适用性声明”应对未采用的GB/T 22080-2017/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》附录A中的条款的原因予以说明，同时对采用的GB/T 22080-2017/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》附录A以外的所有控制措施予以说明。

具体参见《适用性声明》(版本号：1.0)

6.1.4信息技术服务风险的确认和成文信息

总裁办按照《环境分析相关方要求风险和机遇的应对措施控制程序》识别与信息技术服务：

a)有关的风险

1)组织；

2）不满足服务要求；

3）服务生命周期中的相关方；

b)风险对客户的影响和服务管理体系及服务的机遇；

c)风险接受标准；

d)所采取的风险管理的方法。

6.1.5 信息技术服务措施策划

组织应策划：

a)应对信息技术服务的风险和机遇的措施及优先级；

b)如何：

1)将这些措施整合到服务管理体系过程中，并予以实施；

2）评价这些措施的有效性。

注 1：应对风险和机遇的选择包括：避免风险，面对或增加风险以追求机遇，通过协定的措施移除风险源，改变风险的后果或可能性，降低风险，和其他方共担风险或通过充分的信息决策接受风险。