2022年CISP教材知識點(diǎn)整理：安全風(fēng)險管理基本過程

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個知識類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識點(diǎn)梳理，詳情如下：

第三章：知識域：信息安全管理

3.2 知識子域：信息安全風(fēng)險管理

3.2.3安全風(fēng)險管理基本過程

四個階段：背景建立、風(fēng)險評估、風(fēng)險處理、批準(zhǔn)監(jiān)督

兩個貫穿：監(jiān)控檢查、溝通咨詢

1.背景建立

確定風(fēng)險管理的對象和范圍，確立實施風(fēng)險管理的準(zhǔn)備，進(jìn)行相關(guān)信息的調(diào)查和分析

背景建立的過程包括風(fēng)險管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析4個階段

2.風(fēng)險評估

確定信息資產(chǎn)的價值、識別適用的威脅和脆弱點(diǎn)、識別現(xiàn)有控制措施及其對已識別風(fēng)險的影響，確定潛在后果，對風(fēng)險進(jìn)行最終的優(yōu)先級排序，并按照風(fēng)險范疇中設(shè)定的風(fēng)險評價準(zhǔn)則進(jìn)行排名

風(fēng)險評估的過程包括風(fēng)險評估準(zhǔn)備、風(fēng)險要素識別、風(fēng)險分析和風(fēng)險結(jié)果判定4個階段

本階段的最終輸出《風(fēng)險評估報告》

3.風(fēng)險處理

風(fēng)險處理的目的是為了將風(fēng)險始終控制在可接受的范圍內(nèi)

風(fēng)險處理的方式主要有降低、規(guī)避、轉(zhuǎn)移和接受4種方式

降低方式：對面臨風(fēng)險的資產(chǎn)采取保護(hù)措施來降低風(fēng)險，比如采用法律的手段；采取身份認(rèn)證措施；及時給系統(tǒng)打補(bǔ)丁，關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口；采用各種防護(hù)措施；采取容災(zāi)備份、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)計劃等措施

規(guī)避方式：當(dāng)風(fēng)險不能被降低時，通過不使用面臨風(fēng)險的資產(chǎn)來避免風(fēng)險

轉(zhuǎn)移方式：只有在風(fēng)險既不能被降低，又不能被規(guī)避時，通過將面臨風(fēng)險的資產(chǎn)或其價值轉(zhuǎn)移到更安全的地方來避免或降低風(fēng)險，比如外包給滿足安全保障要求的第三方機(jī)構(gòu)；上保險

接受方式：選擇對風(fēng)險不采取進(jìn)一步的處理措施，接受風(fēng)險可能帶來的結(jié)果

風(fēng)險處理的發(fā)過程包括現(xiàn)存風(fēng)險判斷、處理目標(biāo)確立、處理措施選擇和處理措施實施4個階段

形成《風(fēng)險處理實施記錄》

4.批準(zhǔn)監(jiān)督

批準(zhǔn)監(jiān)督包括批準(zhǔn)和持續(xù)監(jiān)督兩部分

批準(zhǔn)，決策層做出是否認(rèn)可風(fēng)險管理活動的決定

批準(zhǔn)通過的依據(jù)有兩個：一是信息系統(tǒng)的殘余風(fēng)險是可接受的；二是安全措施能夠滿足信息系統(tǒng)當(dāng)前業(yè)務(wù)的安全需求

5.監(jiān)控審查

監(jiān)控，是監(jiān)視和控制

審查時跟蹤受保護(hù)系統(tǒng)自身或所處環(huán)境的變化，以保證結(jié)果的有效性和符合性

監(jiān)控審查包括3方面：監(jiān)控過程有效性、監(jiān)控成本有效性、審查結(jié)果有效性和符合性

6.溝通咨詢