2022年CISP教材知識點整理：風險評估途徑與方式方法

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標準法規(guī)五個知識類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

6.2知識子域：安全評估實施

6.2.2 風險評估途徑與方式方法

1.風險評估途徑

（1）基線評估（Baseline Risk Assessment，BRA）

（2）詳細評估

（3）組合評估

采用基于基線評估與詳細評估兩者之間的評估方式

2.風險評估方式

（1）自評估

由組織自身發(fā)起

自評估可由發(fā)起方實施或委托風險評估服務技術(shù)支持方實施

（2）檢查評估

由被評估組織的上級主管機關(guān)或業(yè)務主管機關(guān)發(fā)起

檢查評估時強制性的檢查活動

檢查評估也可委托風險評估服務技術(shù)支持方實施

要對實施檢查評估機構(gòu)的資質(zhì)進行嚴格管理

3.風險評估方法

（1）基于知識的分析方法

（2）定量分析

風險評估的整個過程和結(jié)果都可以被量化

首先識別資產(chǎn)并為資產(chǎn)賦值，然后通過威脅和弱點評估，評價特定威脅作用于特定資產(chǎn)所造成的影響，即EF（取值為0%~100%）

暴漏因子EF

單一預期損失SLE

SLE=EF*資產(chǎn)價值

年度預期損失ALE

ALE=SLE*年度發(fā)生率（ARO）

（3）定性分析

需要憑借分析者的經(jīng)驗和直覺，或業(yè)界的標準和管理，為風險諸要素的大小或高低程度定性分級，定性分析更具主觀性

（4）定性與定量分析的區(qū)別

注：以上內(nèi)容來源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除

查看更多：CISP知識點整理第六章匯總