ISO/IEC 27003(資訊安全管理系統實作指引, ISMS-implementation guidance)附錄A
階段4: 進行風險評鑑與選擇風險處理方式
步驟18
活動:獲得管理批准實施ISMS(Obtain management approval for implementing an ISMS)
輸入:步驟17
輸出:
風險和已識別風險處理備選方案(Risks and their identified options for risk treatment)
選擇控制目標和控制措施來降低風險(Selected control objectives and controls for risk reduction)
對應ISO27001條款:4.2.1.f), 4.2.1.g)
階段4(進行風險評鑑與選擇風險處理方式)的第三個步驟為「獲得管理批准實施ISMS」，輸入為「文件化高階風險評鑑」、「識別需要更多深入風險評鑑的需求」、「文件化細部風險評鑑及聚合的風險評鑑結果」，輸出則包含「風險和已識別風險處理備選方案」及「選擇控制目標和控制措施來降低風險」。

＊如想瞭解更細部的說明，可以參考ISO/IEC 27003第8.4節

相關連結
30天ISMS導入分享－１８
http://ithelp.ithome.com.tw/question/10081061