pc cc 2个标准

风险评估准备阶段：

（1）风险评估计划书；

（2）风险评估方案；

（3）入选风险评估方法和工具列表；
风险要素识别阶段：

（1）保护资产清单；

（2）面临的威胁列表；

（3）存在的脆弱性列表；

（4）已有的安全措施列表；

风险分析阶段：

（1）风险计算报告；

风险结果判定阶段：

（1）风险程度等级列表；

（2）风险评估报告；

总风险=资产&威胁&脆弱性

残余风险=总风险-控制措施；

资产分类：

GB/T 20984 2007 （以前的老标准）：数据、软件、硬件、服务、人员、其他；

GB/T 20984 2022 （新标准）：业务资产、系统资产、系统组件和单元资产；

资产价值：业务对资产的依赖程度，资产在CIA三属性达成的程度；

威胁：威胁源、动机、能力、可能性、途径、评率；