Restrisikoakzeptanz ist die dokumentierte Entscheidung der Geschäftsführung, ein bestimmtes Restrisiko bewusst zu tragen. ISO 27001 Clause 6.1.3 verlangt, dass Risikoeigentümer die Risikobehandlungspläne und die verbleibenden Restrisiken genehmigen. Du dokumentierst dabei, welches Risikoszenario betroffen ist, welche Maßnahmen bereits umgesetzt wurden und warum eine weitere Reduktion unverhältnismäßig wäre. Die Akzeptanz wird mit Datum und Unterschrift festgehalten. Ändert sich die Bedrohungslage oder der Geschäftskontext, muss die Akzeptanz erneut bewertet werden.