6.1.3  風(fēng)險評估文檔

風(fēng)險評估文檔是指在整個風(fēng)險評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔，包括但不僅限于闡述風(fēng)險評估的目標(biāo)、范圍、人員、評估方法、評估結(jié)果的形式和實(shí)施進(jìn)度等的《風(fēng)險評估方案》；明確評估的目的、職責(zé)、過程、相關(guān)的文檔要求，以及實(shí)施本次評估所需要的各種資產(chǎn)、威脅、脆弱性識別和判斷依據(jù)《風(fēng)險評估程序》。根據(jù)組織在風(fēng)險評估程序文檔中所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識別，形成資產(chǎn)識別清單，明確資產(chǎn)的責(zé)任人倍B 門的《資產(chǎn)識別清單》；

常見的過程文檔還包括描述資產(chǎn)識別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責(zé)任人／部門等的《重要資產(chǎn)清單》；：根據(jù)威脅識別和賦值的結(jié)果，形成威脅列表，包括威脅名稱、種類、來源、動機(jī)及出現(xiàn)的頻率等的《威脅列表》以及：根據(jù)脆弱性識別和賦值的結(jié)果，形成脆弱性列表，包括具體脆弱性的名稱、描述、類型及嚴(yán)重程度的《脆弱性列表》和《已有安全措施確認(rèn)表》。

風(fēng)險評估的主體文檔主要包括描述整個風(fēng)險評估過程和結(jié)果進(jìn)行總結(jié)，詳細(xì)說明被評估對象、風(fēng)險評估方法、資產(chǎn)、威脅、脆弱性的識別結(jié)果、風(fēng)險分析、風(fēng)險統(tǒng)計和結(jié)論等內(nèi)容的《風(fēng)險評估報告》；描述評估結(jié)果中不可接受的風(fēng)險制定風(fēng)險處理計劃，選擇適當(dāng)?shù)目刂颇繕?biāo)及安全措施，明確責(zé)任、進(jìn)度、資源，并通過對殘余風(fēng)險的評價以確定所選擇安全措施的有效性的《風(fēng)險處理計劃》。

確保文檔發(fā)布前是得到批準(zhǔn)的并且標(biāo)識出更改和現(xiàn)行修訂狀態(tài)。在文檔的分發(fā)過程中應(yīng)得到適當(dāng)?shù)目刂疲⒋_保在使用時可獲得有關(guān)版本的適用文檔，防止作廢文檔的非預(yù)期使用，若因任何目的需保留作廢文檔時，應(yīng)對這些文檔進(jìn)行適當(dāng)?shù)臉?biāo)識。

對于風(fēng)險評估過程中形成的相關(guān)文檔，還應(yīng)規(guī)定其標(biāo)識、儲存、保護(hù)、檢索、保存期限以及處置所需的控制。相關(guān)文檔是否需要以及詳略程度由組織的管理者來決定。