6.1.3  風(fēng)險(xiǎn)評(píng)估文檔

風(fēng)險(xiǎn)評(píng)估文檔是指在整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程中產(chǎn)生的評(píng)估過(guò)程文檔和評(píng)估結(jié)果文檔，包括但不僅限于闡述風(fēng)險(xiǎn)評(píng)估的目標(biāo)、范圍、人員、評(píng)估方法、評(píng)估結(jié)果的形式和實(shí)施進(jìn)度等的《風(fēng)險(xiǎn)評(píng)估方案》；明確評(píng)估的目的、職責(zé)、過(guò)程、相關(guān)的文檔要求，以及實(shí)施本次評(píng)估所需要的各種資產(chǎn)、威脅、脆弱性識(shí)別和判斷依據(jù)《風(fēng)險(xiǎn)評(píng)估程序》。根據(jù)組織在風(fēng)險(xiǎn)評(píng)估程序文檔中所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識(shí)別，形成資產(chǎn)識(shí)別清單，明確資產(chǎn)的責(zé)任人倍B 門的《資產(chǎn)識(shí)別清單》；

常見(jiàn)的過(guò)程文檔還包括描述資產(chǎn)識(shí)別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責(zé)任人／部門等的《重要資產(chǎn)清單》；：根據(jù)威脅識(shí)別和賦值的結(jié)果，形成威脅列表，包括威脅名稱、種類、來(lái)源、動(dòng)機(jī)及出現(xiàn)的頻率等的《威脅列表》以及：根據(jù)脆弱性識(shí)別和賦值的結(jié)果，形成脆弱性列表，包括具體脆弱性的名稱、描述、類型及嚴(yán)重程度的《脆弱性列表》和《已有安全措施確認(rèn)表》。

風(fēng)險(xiǎn)評(píng)估的主體文檔主要包括描述整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程和結(jié)果進(jìn)行總結(jié)，詳細(xì)說(shuō)明被評(píng)估對(duì)象、風(fēng)險(xiǎn)評(píng)估方法、資產(chǎn)、威脅、脆弱性的識(shí)別結(jié)果、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)統(tǒng)計(jì)和結(jié)論等內(nèi)容的《風(fēng)險(xiǎn)評(píng)估報(bào)告》；描述評(píng)估結(jié)果中不可接受的風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)處理計(jì)劃，選擇適當(dāng)?shù)目刂颇繕?biāo)及安全措施，明確責(zé)任、進(jìn)度、資源，并通過(guò)對(duì)殘余風(fēng)險(xiǎn)的評(píng)價(jià)以確定所選擇安全措施的有效性的《風(fēng)險(xiǎn)處理計(jì)劃》。

確保文檔發(fā)布前是得到批準(zhǔn)的并且標(biāo)識(shí)出更改和現(xiàn)行修訂狀態(tài)。在文檔的分發(fā)過(guò)程中應(yīng)得到適當(dāng)?shù)目刂疲⒋_保在使用時(shí)可獲得有關(guān)版本的適用文檔，防止作廢文檔的非預(yù)期使用，若因任何目的需保留作廢文檔時(shí)，應(yīng)對(duì)這些文檔進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。

對(duì)于風(fēng)險(xiǎn)評(píng)估過(guò)程中形成的相關(guān)文檔，還應(yīng)規(guī)定其標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限以及處置所需的控制。相關(guān)文檔是否需要以及詳略程度由組織的管理者來(lái)決定。