ISO/IEC 27003(資訊安全管理系統實作指引, ISMS-implementation guidance)附錄A
階段4: 進行風險評鑑與選擇風險處理方式
步驟16
活動:進行風險評鑑(Conduct risk assessment)
輸入:步驟１５
輸出:
風險評鑑範圍(Scope for risk assessment)
通過與組織的戰略風險管理對齊的風險評鑑方法(Approved risk assessment methodology, aligned with organization’s strategic risk management context)
風險接受準則(Risk acceptance Criteria)
對應ISO27001條款:4.2.1.c) 1)
階段4(進行風險評鑑與選擇風險處理方式)的第一個步驟為進行風險評鑑，輸入為「組織主要過程的描述」、「組織主要過程資訊資產的識別」及「關鍵過程/資產分類」，輸出則包含「風險評鑑範圍」、「通過與組織的戰略風險管理對齊的風險評鑑方法」及「風險接受準則」。

＊如想瞭解更細部的說明，可以參考ISO/IEC 27003第8.2節

相關連結
30天ISMS導入分享－１６
http://ithelp.ithome.com.tw/question/10080640