6.1.3 风险评估文档
风险评估文档是指在整个风险评估过程中产生的评估过程文档和评估结果文档,包括但不仅限于阐述风险评估的目标、范围、人员、评估方法、评估结果的形式和实施进度等的《风险评估方案》;明确评估的目的、职责、过程、相关的文档要求,以及实施本次评估所需要的各种资产、威胁、脆弱性识别和判断依据《风险评估程序》。根据组织在风险评估程序文档中所确定的资产分类方法进行资产识别,形成资产识别清单,明确资产的责任人倍B 门的《资产识别清单》;
常见的过程文档还包括描述资产识别和赋值的结果,形成重要资产列表,包括重要资产名称、描述、类型、重要程度、责任人/部门等的《重要资产清单》;:根据威胁识别和赋值的结果,形成威胁列表,包括威胁名称、种类、来源、动机及出现的频率等的《威胁列表》以及:根据脆弱性识别和赋值的结果,形成脆弱性列表,包括具体脆弱性的名称、描述、类型及严重程度的《脆弱性列表》和《已有安全措施确认表》。
风险评估的主体文档主要包括描述整个风险评估过程和结果进行总结,详细说明被评估对象、风险评估方法、资产、威胁、脆弱性的识别结果、风险分析、风险统计和结论等内容的《风险评估报告》;描述评估结果中不可接受的风险制定风险处理计划,选择适当的控制目标及安全措施,明确责任、进度、资源,并通过对残余风险的评价以确定所选择安全措施的有效性的《风险处理计划》。
确保文档发布前是得到批准的并且标识出更改和现行修订状态。在文档的分发过程中应得到适当的控制,并确保在使用时可获得有关版本的适用文档,防止作废文档的非预期使用,若因任何目的需保留作废文档时,应对这些文档进行适当的标识。
对于风险评估过程中形成的相关文档,还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制。相关文档是否需要以及详略程度由组织的管理者来决定。