2022年CISP教材知識(shí)點(diǎn)整理：風(fēng)險(xiǎn)評(píng)估基本過程

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個(gè)知識(shí)類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識(shí)點(diǎn)梳理，詳情如下：

6.2知識(shí)子域：安全評(píng)估實(shí)施

6.2.3 風(fēng)險(xiǎn)評(píng)估基本過程

1.風(fēng)險(xiǎn)評(píng)估準(zhǔn)備

風(fēng)險(xiǎn)評(píng)估實(shí)施前需要做七個(gè)工作

（1）確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)

（2）確定風(fēng)險(xiǎn)評(píng)估的范圍

（3）組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)

（4）進(jìn)行系統(tǒng)調(diào)研

（5）確定評(píng)估依據(jù)和方法

如定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析、或是半定量風(fēng)險(xiǎn)分析

（6）制訂風(fēng)險(xiǎn)評(píng)估方案

（7）獲得較高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持

2.風(fēng)險(xiǎn)識(shí)別

（1）資產(chǎn)識(shí)別

資產(chǎn)識(shí)別包括對(duì)組織機(jī)構(gòu)資產(chǎn)分類、分級(jí)、形態(tài)及資產(chǎn)價(jià)值的評(píng)估

資產(chǎn)分類與登記

資產(chǎn)清單作為資產(chǎn)登記的重要輸出

識(shí)別資產(chǎn)的有效手段是資產(chǎn)清單

資產(chǎn)賦值

保密性賦值

完整性賦值

可用性賦值

重要性賦值

資產(chǎn)評(píng)估原則

獨(dú)立性原則

客觀公正性原則

科學(xué)性原則

（2）威脅識(shí)別

判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容

（3）脆弱性識(shí)別

（4）確認(rèn)已有的控制措施

確認(rèn)已有的安全措施，需要依據(jù)背景建立階段輸出的3個(gè)報(bào)告，即《信息系統(tǒng)的描述報(bào)告》《信息系統(tǒng)的分析報(bào)告》《信息系統(tǒng)的安全要求報(bào)告》來確認(rèn)已有的安全措施，包括技術(shù)層面（物理平臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)路平臺(tái)和應(yīng)用平臺(tái)）的安全功能、組織層面（組織結(jié)構(gòu)、崗位和人員）的安全控制和管理層面（策略、規(guī)章和制度）的安全對(duì)策，形成《已有安全措施列表》

3.風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)計(jì)算原理可以用下面的范式形式化地加以說明：

風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(Ia,Va))

R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)

A表示資產(chǎn)

T表示威脅

V表示脆弱性

Ia表示安全事件所作用的資產(chǎn)價(jià)值

Va表示脆弱性嚴(yán)重程度

L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性

F表示安全事件發(fā)生后造成的損失

（1）計(jì)算安全事件發(fā)生的可能性

安全事件的可能性=L(威脅出現(xiàn)的頻率，脆弱性)=L(T,V)

（2）計(jì)算安全事件發(fā)生后造成的損失

安全事件造成的損失=F(資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度)=F(Ia,Va)

（3）計(jì)算風(fēng)險(xiǎn)值

風(fēng)險(xiǎn)值=R(安全事件的可能性，安全事件造成的損失)=R(L(T,V),F(Ia,Va))

4.風(fēng)險(xiǎn)結(jié)果判定

（1）評(píng)估風(fēng)險(xiǎn)的等級(jí)

依據(jù)《風(fēng)險(xiǎn)計(jì)算報(bào)告》，根據(jù)已經(jīng)制定的風(fēng)險(xiǎn)分級(jí)準(zhǔn)測，對(duì)所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級(jí)處理，形成《風(fēng)險(xiǎn)程度等級(jí)列表》

（2）綜合評(píng)估風(fēng)險(xiǎn)狀況

需要匯總各項(xiàng)輸出文檔和《風(fēng)險(xiǎn)程度等級(jí)列表》，綜合評(píng)價(jià)風(fēng)險(xiǎn)狀況，形成《風(fēng)險(xiǎn)評(píng)估報(bào)告》

5.風(fēng)險(xiǎn)處理計(jì)劃

6.殘余風(fēng)險(xiǎn)評(píng)估

6.2.4風(fēng)險(xiǎn)評(píng)估文檔

注：以上內(nèi)容來源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除

查看更多：CISP知識(shí)點(diǎn)整理第六章匯總