在写用ISO27001构建电子政务ISMS的文章，发现其中风险评估的流程如下正确吗？

nomadlee

步骤一：确定评估范围阶段
步骤二：资产的识别和评估阶段
步骤三：识别威胁
步骤四：识别脆弱性
步骤五：分析已采取的安全控制
步骤六：测定安全事件发生的可能性
步骤七：分析安全事件发生后造成的影响
步骤八：确定风险级别

步骤九：提出安全控制建议
步骤十：生成评估结果文档
步骤十一：评审评估结果
步骤十二（可选步骤）：确定复查计划

第一步完成之后，步骤二、三、四是可以并行进行的。评估流程及每一步骤的输入、输出如图所示。

我困惑的是“步骤九：提出安全控制建议” 在27001中的“确定信息风险管理内容”后才应该出现的，为什么在这儿呢？谢谢

linkboy

步骤九：提出安全控制建议
步骤十：生成评估结果文档

应该互换一下 先出结果在给建议。  然后再是是评估结果