2022年CISP教材知識(shí)點(diǎn)整理:安全風(fēng)險(xiǎn)管理基本過程

CISP 責(zé)任編輯:肖穎慧 2022-03-31

摘要:CISP的考試每個(gè)月都有,考試內(nèi)容共有10個(gè)知識(shí)域,內(nèi)含不同的知識(shí)子域,希賽網(wǎng)CISP頻道為您整理CISP考試教材的知識(shí)點(diǎn),第三章:信息安全管理。更多消息請持續(xù)關(guān)注。

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個(gè)知識(shí)類,希賽網(wǎng)CISP教材大綱欄目,為大家整理了CISP知識(shí)點(diǎn)梳理,詳情如下:

第三章:知識(shí)域:信息安全管理

3.2 知識(shí)子域:信息安全風(fēng)險(xiǎn)管理

3.2.3安全風(fēng)險(xiǎn)管理基本過程

四個(gè)階段:背景建立、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督

兩個(gè)貫穿:監(jiān)控檢查、溝通咨詢

1.背景建立

確定風(fēng)險(xiǎn)管理的對象和范圍,確立實(shí)施風(fēng)險(xiǎn)管理的準(zhǔn)備,進(jìn)行相關(guān)信息的調(diào)查和分析

背景建立的過程包括風(fēng)險(xiǎn)管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析4個(gè)階段

2.風(fēng)險(xiǎn)評估

確定信息資產(chǎn)的價(jià)值、識(shí)別適用的威脅和脆弱點(diǎn)、識(shí)別現(xiàn)有控制措施及其對已識(shí)別風(fēng)險(xiǎn)的影響,確定潛在后果,對風(fēng)險(xiǎn)進(jìn)行最終的優(yōu)先級排序,并按照風(fēng)險(xiǎn)范疇中設(shè)定的風(fēng)險(xiǎn)評價(jià)準(zhǔn)則進(jìn)行排名

風(fēng)險(xiǎn)評估的過程包括風(fēng)險(xiǎn)評估準(zhǔn)備、風(fēng)險(xiǎn)要素識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)結(jié)果判定4個(gè)階段

本階段的最終輸出《風(fēng)險(xiǎn)評估報(bào)告》

3.風(fēng)險(xiǎn)處理

風(fēng)險(xiǎn)處理的目的是為了將風(fēng)險(xiǎn)始終控制在可接受的范圍內(nèi)

風(fēng)險(xiǎn)處理的方式主要有降低、規(guī)避、轉(zhuǎn)移和接受4種方式

降低方式:對面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施來降低風(fēng)險(xiǎn),比如采用法律的手段;采取身份認(rèn)證措施;及時(shí)給系統(tǒng)打補(bǔ)丁,關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口;采用各種防護(hù)措施;采取容災(zāi)備份、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)計(jì)劃等措施

規(guī)避方式:當(dāng)風(fēng)險(xiǎn)不能被降低時(shí),通過不使用面臨風(fēng)險(xiǎn)的資產(chǎn)來避免風(fēng)險(xiǎn)

轉(zhuǎn)移方式:只有在風(fēng)險(xiǎn)既不能被降低,又不能被規(guī)避時(shí),通過將面臨風(fēng)險(xiǎn)的資產(chǎn)或其價(jià)值轉(zhuǎn)移到更安全的地方來避免或降低風(fēng)險(xiǎn),比如外包給滿足安全保障要求的第三方機(jī)構(gòu);上保險(xiǎn)

接受方式:選擇對風(fēng)險(xiǎn)不采取進(jìn)一步的處理措施,接受風(fēng)險(xiǎn)可能帶來的結(jié)果

風(fēng)險(xiǎn)處理的發(fā)過程包括現(xiàn)存風(fēng)險(xiǎn)判斷、處理目標(biāo)確立、處理措施選擇和處理措施實(shí)施4個(gè)階段

形成《風(fēng)險(xiǎn)處理實(shí)施記錄》

4.批準(zhǔn)監(jiān)督

批準(zhǔn)監(jiān)督包括批準(zhǔn)和持續(xù)監(jiān)督兩部分

批準(zhǔn),決策層做出是否認(rèn)可風(fēng)險(xiǎn)管理活動(dòng)的決定

批準(zhǔn)通過的依據(jù)有兩個(gè):一是信息系統(tǒng)的殘余風(fēng)險(xiǎn)是可接受的;二是安全措施能夠滿足信息系統(tǒng)當(dāng)前業(yè)務(wù)的安全需求

5.監(jiān)控審查

監(jiān)控,是監(jiān)視和控制

審查時(shí)跟蹤受保護(hù)系統(tǒng)自身或所處環(huán)境的變化,以保證結(jié)果的有效性和符合性

監(jiān)控審查包括3方面:監(jiān)控過程有效性、監(jiān)控成本有效性、審查結(jié)果有效性和符合性

6.溝通咨詢

注:以上內(nèi)容來源于網(wǎng)絡(luò),如有侵權(quán),可聯(lián)系客服刪除
更多課程
更多真題
溫馨提示:因考試政策、內(nèi)容不斷變化與調(diào)整,本網(wǎng)站提供的以上信息僅供參考,如有異議,請考生以權(quán)威部門公布的內(nèi)容為準(zhǔn)!