五、風險管理
（一）應將風險評估之結果提報單位主管審查，並將審查結果提報資通安
      全會報（資訊安全執行小組），以決定不可接受之風險等級。
（二）應將超過不可接受風險等級之風險項目，擬訂風險改善計畫。
（三）風險改善計畫應符合整體資訊安全目標。
（四）風險改善計畫執行結束後，應針對不可接受之風險重新評估殘餘風
      險是否均已降低至可接受風險值以下。
（五）風險改善計畫執行之成果應提報資通安全會報（資訊安全執行小組
      ）之管理審查會議中進行確認。