資訊資產管理者以自己另建的副本進行填寫， 首先應該在「資訊資產清冊」工作表如左圖紅框處輸入各項資訊資產基本資料。

在選單最右邊的「資安表單自訂功能」選項，是由程式產生的自訂選單(剛開啟Google試算表要等數秒鐘後才會出現)，從這裡選擇要執行的客製功能。

首先，請務必 點選執行「初執行需要授權 - 創用CC授權(姓名標示)」這項功能，目的是在首次執行客製功能前會自動跳出要求你完成授權同意程序。

完成前述的授權同意程序後，並沒有緊接著執行「初執行需要授權 - 創用CC授權(姓名標示)」這項功能，而是要再點選執行一次，確認可正常執行，如此代表其他功能也都能正常執行了。

點選執行「確認 [此試算表共用設定限制及使用者] 」這項功能，呈現Google試算表目前存取權限，也會強制將其共用設定限制，以避免資料外洩。如此進行資訊安全風險評估，採行相符安全控制措施， 可確保降低資安風險。

點選執行「表格套疊[資訊資產威脅及弱點評估表]」這項功能，這項功能會找出清冊中尚未建立出威脅及弱點評估表的資訊資產，程式逐一掃瞄每項資訊資產記錄，建立成一個一個工作表。若已存在的則不會建立(想要重新建立的工作表就必須先刪除已存在的那張工作表)，已存在的評估表會更新資訊資產基本資料及K3格的評估日期(請在此輸入要更新為哪個日期? 若空白就由程式將K3格改為今天日期)

執行此步驟時，程式是讀取「資產價值、威脅弱點影響判定」工作表之K8格的那個試算表ID，應該是引用資安專責人員調整好的版本(而且設定其共用權限讓知道連結的任何人都可以檢視 )，讓這個步驟的程式能從該版本讀取各類型空白的「資訊資產威脅及弱點評估表 」複製到這裡來。

每一個「資訊資產威脅及弱點評估表」的最上方基本資料，都是由程式自動將「資訊資產清冊」填好的資料帶入，並且將評估日期訂為今日。

請注意，這些自動帶入的資料，不要在此手動編輯 (會跳出警告訊息 )，因為這樣會造成與「資訊資產清冊」的資料不一致。若真的需要異動這些資料，請回到「資訊資產清冊」工作表進行編輯，然後再執行後續介紹的資訊資產管理者持續進行威脅及弱點評估之操作程序。

各項資訊資產，應依據ISO 27001資安管理之相關的控制目標及控制措施進行鑑別，亦可就其他如個人資料管理規範之相關控制措施進行鑑別。(詳見現有控制措施識別程序)

我們的設計已經將各類資訊資產的相關控制措施整理在工作表裡面，若資訊資產管理者確定有執行某項控制措施就在L欄勾選起來，這樣該項控制措施原本是刪除線灰字就會變成正常的文字，如此設計方便導引識別已採取哪些控制措施。

不過，不限於已列入的控制措施，仍可就實際現況評估自行增列其他已採取的ISO 27001或教育體系資通安全暨個人資料管理規範控制項目。舉例若打算增加2項控制措施，就先選取既有最後2列按滑鼠右鍵執行向下插入2列，就可以看到插入了空白2列。然後選取既有1列按滑鼠右鍵執行複製，再選取空白的2列並直接按Ctrl-V貼上，就能讓新增2列有同樣的勾選框及連動文字樣式呈現，再自行更改新增項目的文字內容即可。

最後，在識別現有控制措施表格的最後一列，以更具體的文字描述現有控制措施。

每一項資訊資產都必須逐一檢核可能發生的「威脅」與「弱點」，進行評估各項威脅發生可能性、脆弱性利用難易度。(詳見評鑑事件可能性程序)

參照「資產價值、威脅弱點影響判定」工作表中的說明進行評定等級值勾選，試算表已設定好公式自動計算所有項目的 (威脅發生可能性 × 脆弱性利用難易度) 數值，最後也會自動判斷最大值。

當年度發生的資訊安全事件納入評分進行滾動式檢討調升風險值，此為「風險值積分」。(詳見決定風險等級程序)

參照「資產價值、威脅弱點影響判定」工作表中的說明進行評定積分值，若該項資訊資產在當年度並未發生資安事件就不用填寫。完成「風險值積分」評定後，試算表已設定好公式自動計算總風險值。

風險評鑑執行時機應依規劃期間進行 (每年至少一次 )，每個人的資訊資產每年異動的程度應該就是有一小部分增減，當一個新的周期開始又要進行資訊資產盤點了，再次執行「表格套疊 [資訊資產威脅及弱點評估表]」這項功能的前置作業應該是：

1. 先把目前的Google試算表檔案另存副本一份，檔名註記為前一年度的歷史紀錄留存備查。

2. 已經汰除的資訊資產，就從「資訊資產清冊」工作表裡面刪除該列紀錄，也找出該項資訊資產對應的「資訊資產威脅及弱點評估表」，將該工作表手動刪除。

3. 新增的資訊資產，增列紀錄於「資訊資產清冊」工作表。

4. 「資訊資產清冊」的每一項資訊資產若有需要異動的部分，包含評估C、I、A、P影響或基本資料(如右圖第一個畫面PC從50台增為66台)，都要在「資訊資產清冊」工作表先完成更新(稍後執行程式自動帶入評估表更新之)。

完成前述程序後，點選執行「表格套疊 [資訊資產威脅及弱點評估表]」這項功能，已存在的評估表會更新資訊資產基本資料 及K3格的評估日期 (可輸入要更新為哪個日期? 若空白就由程式自動訂為當天日期)，而新增的資訊資產也會建立對應的威脅及弱點評估表。此功能執行後，可以看到各個評估表的基本資料欄位已做了更新(如右圖第四個畫面PC更改為66台及評估日期訂為2022/1/1)，你要做的就是再逐一檢核需要更新評估的現有控制措施識別及各項威脅弱點等級。

資訊資產風險值高於「可接受風險等級」項目列入「詳細風險評鑑彙整表」，應各單位內統整一份，提交至單位主管複核，並檢附此表中每一項「資訊資產威脅及弱點評估表」送交至「資安暨個資執行小組」備查。(詳見風險評鑑彙整及處理程序)

點選執行「建立[詳細風險評鑑彙整表]」這項功能，執行此功能會跳出訊息要求使用者輸入高風險等級門檻值(參照「資產價值、威脅弱點影響判定」工作表的A56格 )，只有大於等於該門檻值的資訊資產才會被程式挑出來列入「詳細風險評鑑彙整表」。

那些有資訊資產風險值達到高風險等級之人員，這裡產出的「詳細風險評鑑彙整表」就不是空白的，應提供其彙整表資料集中由一位負責統整成單位內的一份總彙整表。這部分就沒有再設計程式進行自動化彙整程序了，只要用詳細風險評鑑彙整表(應為資安專責人員公告的自家版本)將大家的資料複製貼上即可完成手動彙整。