信息安全技术 信息安全风险评估规范

风险处理计划

对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中明确应采取的弥
补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应从管理与技术两
个方面考虑。安全措施的选择与实施应参照信息安全的相关标准进行。

残余风险评估

在对于不可接受的风险选择适当安全措施后，为确保安全措施的有效性，可进行再评估，以判断实
施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以依据本标准提出的风险评
估流程实施，也可做适当裁减。一般来说，安全措施的实施是以减少脆弱性或降低安全事件发生可能性
为目标的，因此，残余风险的评估可以从脆弱性评估开始，在对照安全措施实施前后的脆弱性状况后，
再次计算风险值的大小。
某些风险可能在选择了适当的安全措施后，残余风险的结果仍处于不可接受的风险范围内，应考虑
是否接受此风险或进一步增加相应的安全措施。

风险评估文档记录

风险评估文档记录的要求

记录风险评估过程的相关文档，应符合以下要求（但不仅限于此）：
a）确保文档发布前是得到批准的；
b）确保文档的更改和现行修订状态是可识别的；
c）确保文档的分发得到适当的控制，并确保在使用时可获得有关版本的适用文档；
d）防止作废文档的非预期使用，若因任何目的需保留作废文档时，应对这些文档进行适当的标
识。
对于风险评估过程中形成的相关文档，还应规定其标识、储存、保护、检索、保存期限以及处置所
需的控制。
相关文档是否需要以及详略程度由组织的管理者来决定。

风险评估文档

风险评估文档是指在整个风险评估过程中产生的评估过程文档和评估结果文档，包括（但不仅限于
此）：
a) 风险评估方案：阐述风险评估的目标、范围、人员、评估方法、评估结果的形式和实施进度等；
b) 风险评估程序：明确评估的目的、职责、过程、相关的文档要求，以及实施本次评估所需要的
各种资产、威胁、脆弱性识别和判断依据；
c) 资产识别清单：根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别，形成 资
产识别清单，明确资产的责任人/部门；
d）重要资产清单：根据资产识别和赋值的结果，形成重要资产列表，包括重要资产名称、描述、
类型、重要程度、责任人/部门等；
e) 威胁列表：根据威胁识别和赋值的结果，形成威胁列表，包括威胁名称、种类、来源、动机及
出现的频率等；
f) 脆弱性列表：根据脆弱性识别和赋值的结果，形成脆弱性列表，包括具体弱点的名称、描述、
类型及严重程度等；
g) 已有安全措施确认表：根据对已采取的安全措施确认的结果，形成已有安全措施确认表，包括
已有安全措施名称、类型、功能描述及实施效果等；
h) 风险评估报告：对整个风险评估过程和结果进行总结，详细说明被评估对象、风险评估方法、
资产、威胁、脆弱性的识别结果、风险分析、风险统计和结论等内容；
i) 风险处理计划：对评估结果中不可接受的风险制定风险处理计划，选择适当的控制目标及安全
措施，明确责任、进度、资源，并通过对残余风险的评价以确定所选择安全措施的有效性；
j) 风险评估记录：根据风险评估程序，要求风险评估过程中的各种现场记录可复现评估过程，并
GB/T 20984—2007

作为产生歧义后解决问题的依据。

参考资料

信息安全技术信息安全风险评估规范