五、風險管理 (一)應將風險評估之結果提報單位主管審查,並將審查結果提報資通安 全會報(資訊安全執行小組),以決定不可接受之風險等級。 (二)應將超過不可接受風險等級之風險項目,擬訂風險改善計畫。 (三)風險改善計畫應符合整體資訊安全目標。 (四)風險改善計畫執行結束後,應針對不可接受之風險重新評估殘餘風 險是否均已降低至可接受風險值以下。 (五)風險改善計畫執行之成果應提報資通安全會報(資訊安全執行小組 )之管理審查會議中進行確認。