v2第5章__信息安全风险评估实施流程-副本解析.ppt

　　 5.7 风险评估文件记录5.7.1 风险评估文件记录的要求记录风险评估过程中的相关文件，应符合以下要求（但不仅限于此）：1. 确保文件发布前是得到批准的；2. 确保文件的更改和现行修订状态是可识别的；3. 确保文件的分发得到适当的控制，并确保在使用时可获得有关版本的使用文件；4. 防止作废文件的非预期使用，若因某种目的需保留作废文件时，应对这些文件进行适当的标识。 　　  对于风险评估过程中形成的相关文件，还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制。 相关文件是否需要以及文件的详略程度与组织的管理者来决定。 　　 5.7.2 风险评估文件 是指在整个风险评估过程中产生的评估过程文档和评估结果文档，包括（但不仅限于此）；（1）风险评估方案 阐述风险评估的目标、范围、人员、评估方法、评估结果的形式和实施进度等。（2）风险评估程序 明确评估的目的、职责、过程、相关的文件要求，以及实施本次评估所需的各种资产、威胁、脆弱性识别和判断依据。 (3) 资产识别清单 根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别，形成资产识别清单，明确资产是责任人/部门。 　　 （4）重要资产清单 根据资产识别和赋值的结果，形成重要