6.1.3  風險評估文檔

風險評估文檔是指在整個風險評估過程中產生的評估過程文檔和評估結果文檔，包括但不僅限于闡述風險評估的目標、范圍、人員、評估方法、評估結果的形式和實施進度等的《風險評估方案》；明確評估的目的、職責、過程、相關的文檔要求，以及實施本次評估所需要的各種資產、威脅、脆弱性識別和判斷依據《風險評估程序》。根據組織在風險評估程序文檔中所確定的資產分類方法進行資產識別，形成資產識別清單，明確資產的責任人倍B 門的《資產識別清單》；

常見的過程文檔還包括描述資產識別和賦值的結果，形成重要資產列表，包括重要資產名稱、描述、類型、重要程度、責任人／部門等的《重要資產清單》；：根據威脅識別和賦值的結果，形成威脅列表，包括威脅名稱、種類、來源、動機及出現的頻率等的《威脅列表》以及：根據脆弱性識別和賦值的結果，形成脆弱性列表，包括具體脆弱性的名稱、描述、類型及嚴重程度的《脆弱性列表》和《已有安全措施確認表》。

風險評估的主體文檔主要包括描述整個風險評估過程和結果進行總結，詳細說明被評估對象、風險評估方法、資產、威脅、脆弱性的識別結果、風險分析、風險統計和結論等內容的《風險評估報告》；描述評估結果中不可接受的風險制定風險處理計劃，選擇適當的控制目標及安全措施，明確責任、進度、資源，并通過對殘余風險的評價以確定所選擇安全措施的有效性的《風險處理計劃》。

確保文檔發布前是得到批準的并且標識出更改和現行修訂狀態。在文檔的分發過程中應得到適當的控制，并確保在使用時可獲得有關版本的適用文檔，防止作廢文檔的非預期使用，若因任何目的需保留作廢文檔時，應對這些文檔進行適當的標識。

對于風險評估過程中形成的相關文檔，還應規定其標識、儲存、保護、檢索、保存期限以及處置所需的控制。相關文檔是否需要以及詳略程度由組織的管理者來決定。