5.7 風險評估文檔記錄

5.7.1 風險評估文檔記錄的要求

記錄風險評估過程的相關文檔，應符合以下要求（但不僅限于此）：
a）確保文檔發布前是得到批準的；
b）確保文檔的更改和現行修訂狀態是可識別的；
c）確保文檔的分發得到適當的控制，并確保在使用時可獲得有關版本的適用文檔；
d）防止作廢文檔的非預期使用，若因任何目的需保留作廢文檔時，應對這些文檔進行適當的標識。
對于風險評估過程中形成的相關文檔，還應規定其標識、儲存、保護、檢索、保存期限以及處置所需的控制。

5.7.2 風險評估文檔

風險評估文檔是指在整個風險評估過程中產生的評估過程文檔和評估結果文檔，包括（但不僅限于此）：
a）風險評估方案：闡述風險評估的目標、范圍、人員、評估方法、評估結果的形式和實施進度等；
b）風險評估程序：明確評估的目的、職責、過程、相關的文檔要求，以及實施本次評估所需要的各種資產、威脅、脆弱性識別和判斷依據；
c）資產識別清單：根據組織在風險評估程序文檔中所確定的資產分類方法進行資產識別，形成資產識別清單，明確資產的責任人/部門；
d）重要資產清單：根據資產識別和賦值的結果，形成重要資產列表，包括重要資產名稱、描述、類型、重要程度、責任人/部門等；
e）威脅列表：根據威脅識別和賦值的結果，形成威脅列表，包括威脅名稱、種類、來源、動機及出現的頻率等；
f）脆弱性列表：根據脆弱性識別和賦值的結果，形成脆弱性列表，包括具體脆弱性的名稱、描述、類型及嚴重程度等；
g）已有安全措施確認表：根據對已采取的安全措施確認的結果，形成已有安全措施確認表，包括已有安全措施名稱、類型、功能描述及實施效果等；
h）風險評估報告：對整個風險評估過程和結果進行總結，詳細說明被評估對象、風險評估方法、資產、威脅、脆弱性的識別結果、風險分析、風險統計和結論等內容；
i）風險處理計劃：對評估結果中不可接受的風險制定風險處理計劃，選擇適當的控制目標及安全措施，明確責任、進度、資源，并通過對殘余風險的評價以確定所選擇安全措施的有效性；
j）風險評估記錄：根據風險評估程序，要求風險評估過程中的各種現場記錄可復現評估過程，并作為產生歧義后解決問題的依據。