2022年CISP教材知識點整理：風險管理基本概念

CISP共有共包括信息安全保障、信息安全技術、信息安全管理、信息安全工程和信息安全標準法規(guī)五個知識類，希賽網CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

第三章：知識域：信息安全管理

3.2 知識子域：信息安全風險管理

3.2.1風險管理基本概念

信息安全風險管理是基于分概念的信息安全管理，也就是始終以風險為主線進行信息安全的管理

1.風險與風險管理

威脅利用脆弱性作用于資產產生影響

2.風險管理的價值

為了使風險管理有效，一個組織應在所有層面上符合以下原則

（1）風險管理創(chuàng)造和保護價值

（2）風險管理是所有組織過程不可分割的一部分

（3）風險管理是決策的一部分

（4）風險管理明確地應對不確定性

（5）風險管理是體系化、結構化的過程

（6）風險管理是基于最好的可獲得的信息

（7）風險管理是可裁剪的

（8）風險管理考慮人員和文化因素

（9）風險管理是透明的，參與人員包含廣泛

（10）風險管理是動態(tài)的、反復的、響應變化的

（11）風險管理促進組織的持續(xù)改進

（12）不斷或定期重新評估

3.風險管理角色和責任

參與角色一般分為信息安全主管機關、業(yè)務主管機關、信息系統(tǒng)擁有者/運營者、信息系統(tǒng)承建者、信息系統(tǒng)安全服務機構、信息系統(tǒng)的關聯(lián)著

注：以上內容來源于網絡，如有侵權，可聯(lián)系客服刪除