风险评估结果通常可以划分为以下几个等级：

一、高风险

定义

高风险表示信息安全事件发生的可能性高，且一旦发生将对组织造成严重的影响。

特征

风险发生的可能性：可能由于存在重大的安全漏洞、面临严重的威胁环境或者缺乏有效的安全控制措施等原因，导致风险发生的概率较高。例如，组织的关键信息系统存在未修补的重大安全漏洞，且该漏洞被广泛知晓，容易被攻击者利用；组织所处的行业面临着频繁的网络攻击，且组织的安全防护能力相对较弱。

影响程度：如果风险事件发生，将对组织的业务运营、声誉、财务状况等方面造成重大损失。例如，可能导致关键业务系统瘫痪，长时间无法恢复正常运行，造成大量的经济损失；可能导致客户敏感信息泄露，严重影响组织的声誉和客户信任度。

二、中风险

定义

中风险表示信息安全事件发生的可能性和影响程度处于中等水平。

特征

风险发生的可能性：存在一定的安全风险因素，但相比高风险情况，发生的概率相对较低。例如，组织的某些非关键系统存在一些安全隐患，但由于其重要性较低或者受到的威胁相对较小，风险发生的可能性中等。

影响程度：如果风险事件发生，会对组织造成一定程度的影响，但不会像高风险那样造成严重的后果。例如，可能导致部分业务功能受到影响，但不会导致整个业务系统瘫痪；可能导致一定程度的信息泄露，但不会对组织的声誉造成重大损害。

三、低风险

定义

低风险表示信息安全事件发生的可能性低，且即使发生，对组织的影响也较小。

特征

风险发生的可能性：安全控制措施较为有效，面临的威胁较小，或者风险因素本身的发生概率很低。例如，组织的内部办公系统采取了较为严格的安全措施，且很少受到外部攻击；某些低敏感性的信息资产，受到威胁的可能性较小。

影响程度：即使风险事件发生，对组织的业务运营、声誉、财务状况等方面的影响非常有限。例如，可能只是造成一些轻微的不便，或者对业务的影响可以迅速恢复，不会造成重大损失。

四、可接受风险

定义

可接受风险是指组织经过评估认为可以容忍的风险，通常是风险发生的可能性和影响程度都非常低，或者组织已经采取了足够的措施来降低风险至可接受的水平。

特征

风险发生的可能性和影响程度：风险发生的可能性极低，即使发生，对组织的影响也微乎其微。或者组织通过实施有效的风险控制措施，将风险降低到了一个可以接受的水平。例如，组织对一些非关键信息资产采取了基本的安全防护措施，虽然不能完全消除风险，但风险发生的可能性和影响程度都在组织可接受的范围内。

管理策略：对于可接受风险，组织通常不需要采取进一步的风险处理措施，但需要持续监控风险的变化情况，确保风险始终保持在可接受的水平。如果风险情况发生变化，可能需要重新评估并调整管理策略