【摘要】:(3)资产识别清单:根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别,形成资产识别清单,清单中应明确各资产的责任人/部门;(4)重要资产清单:根据资产识别和赋值的结果,形成重要资产列表,包括重要资产名称、描述、类型、重要程度、责任人/部门等;(5)威胁列表:根据威胁识别和赋值的结果,形成威胁列表,包括威胁名称、种类、来源、动机及出现的频率等;(6)脆弱点列表:根据脆弱点识别和赋值的结果
2.3.9 风险评估文件记录
风险评估文件包括在整个风险评估过程中产生的评估过程文档和评估结果文档,这些文档包括:
(1)风险评估计划:阐述风险评估的目标、范围、团队、评估方法、评估结果的形式和实施进度等;
(2)风险评估程序:明确评估的目的、职责、过程、相关的文件要求,并且准备实施评估需要的文档;
(3)资产识别清单:根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别,形成资产识别清单,清单中应明确各资产的责任人/部门;
(4)重要资产清单:根据资产识别和赋值的结果,形成重要资产列表,包括重要资产名称、描述、类型、重要程度、责任人/部门等;
(5)威胁列表:根据威胁识别和赋值的结果,形成威胁列表,包括威胁名称、种类、来源、动机及出现的频率等;
(6)脆弱点列表:根据脆弱点识别和赋值的结果,形成脆弱点列表,包括脆弱点名称、描述、类型及严重程度等;
(7)已有安全措施确认表:根据已采取的安全措施确认的结果,形成已有安全措施确认表,包括已有安全措施名称、类型、功能描述及实施效果等;
(8)风险评估报告:对整个风险评估过程和结果进行总结,详细说明被评估对象,风险评估方法,资产、威胁、脆弱点的识别结果,风险分析、风险统计和结论等内容;
(9)风险处理计划:对评估结果中不可接受的风险制定风险处理计划,选择适当的控制目标及安全措施,明确责任、进度、资源,并通过对残余风险的评价确保所选择安全措施的有效性;
(10)风险评估记录:根据组织的风险评估程序文件,记录对重要资产的风险评估过程。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
