评估过程的文档化

4.3.2　评估过程的文档化

完成风险评估后，评估结果应以正式格式的文档提交给信息资产的拥有者。该报告将帮助高层管理者和商业运营者在策略、商业过程、预算和改进管理等方面做出合理决策。

风险分析报告应以一种可行性分析报告的方式提交，通过对信息安全风险系统全面的分析，使高层管理者了解存在的风险，并做出决策，提供资源、增加投入，使风险降至可接受的程度。

为了合理分配资源进行风险控制，组织在明确可能的控制措施并评估其可行性和有效性后，应做一次投入/效益分析，以确定哪个控制措施更适合自己的组织。投入/效益分析着重分析采取这些控制措施会有什么作用，不采取这些控制措施又会有什么后果。

1.文档化要求

除了确定适当的控制措施，风险评估还应记录管理中应做的工作。记录风险评估过程的相关文件应符合以下基本要求（但不限于这些要求）：

①确保文件发布前已得到批准；

②确保文件的更改和现行状态可识别；

③确保文件可获得有关版本的适用文件；

④确保文件的分发得到适当的控制；

⑤防止作废文件的非预期使用，若因某种目的需保留已作废的文件，则应对这些文件进行适当标识。

另外，对风险评估过程中形成的相关文件，还应规定其标识、存储、保护、检索、保存期限、处置控制等内容。需要哪些相关文件及其详略程度由管理过程决定。

2.文档类别

风险评估文件包括在整个风险评估过程中产生的评估过程文档和评估结果文档，包括但不限于以下基本文档：

（1）风险评估计划

阐述风险评估的目标、范围、团队、方法、结果形式、实施进度、注意事项等。

（2）风险评估程序

明确评估的目的、职责、过程、所需文件及其要求等。

（3）资产识别清单

根据组织在风险评估程序文件中确定的资产分类方法对资产进行识别，形成资产识别清单，清单中应明确各资产的责任者。

（4）重要资产清单

根据资产识别和赋值结果，形成重要资产列表，包括重要资产的名称、描述、类型、重要程度、责任者等。

（5）威胁列表

根据威胁识别和赋值结果，形成威胁列表，包括威胁的名称、类型、来源、动机、出现频率等。

（6）脆弱性列表

根据脆弱性识别和赋值结果，形成脆弱性列表，包括脆弱性的名称、类型、严重程度、描述等。

（7）已有安全措施确认表

根据已有安全措施的确认结果，形成已有安全措施确认表，包括已有安全措施的名称、类型、功能描述、实施效果等。

（8）风险评估报告

对整个风险评估过程和结果进行总结，详细说明评估对象、评估方法、资产识别结果、威胁识别结果、脆弱性识别结果、风险分析、风险统计、评估结论、建议等内容。

（9）风险处理计划

对评估结果中不可接受的风险制定风险处理计划，选择适当的控制目标和安全措施，明确责任、进度、资源，并通过对残余风险的评价确保所选安全措施的有效性。

（10）风险评估记录

根据组织的风险评估程序文件，记录对重要资产实施的风险评估过程。