2022年CISP教材知識點整理：風(fēng)險評估基本過程

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個知識類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

6.2知識子域：安全評估實施

6.2.3 風(fēng)險評估基本過程

1.風(fēng)險評估準(zhǔn)備

風(fēng)險評估實施前需要做七個工作

（1）確定風(fēng)險評估的目標(biāo)

（2）確定風(fēng)險評估的范圍

（3）組建適當(dāng)?shù)脑u估管理與實施團(tuán)隊

（4）進(jìn)行系統(tǒng)調(diào)研

（5）確定評估依據(jù)和方法

如定性風(fēng)險分析、定量風(fēng)險分析、或是半定量風(fēng)險分析

（6）制訂風(fēng)險評估方案

（7）獲得較高管理者對風(fēng)險評估工作的支持

2.風(fēng)險識別

（1）資產(chǎn)識別

資產(chǎn)識別包括對組織機構(gòu)資產(chǎn)分類、分級、形態(tài)及資產(chǎn)價值的評估

資產(chǎn)分類與登記

資產(chǎn)清單作為資產(chǎn)登記的重要輸出

識別資產(chǎn)的有效手段是資產(chǎn)清單

資產(chǎn)賦值

保密性賦值

完整性賦值

可用性賦值

重要性賦值

資產(chǎn)評估原則

獨立性原則

客觀公正性原則

科學(xué)性原則

（2）威脅識別

判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容

（3）脆弱性識別

（4）確認(rèn)已有的控制措施

確認(rèn)已有的安全措施，需要依據(jù)背景建立階段輸出的3個報告，即《信息系統(tǒng)的描述報告》《信息系統(tǒng)的分析報告》《信息系統(tǒng)的安全要求報告》來確認(rèn)已有的安全措施，包括技術(shù)層面（物理平臺、系統(tǒng)平臺、網(wǎng)路平臺和應(yīng)用平臺）的安全功能、組織層面（組織結(jié)構(gòu)、崗位和人員）的安全控制和管理層面（策略、規(guī)章和制度）的安全對策，形成《已有安全措施列表》

3.風(fēng)險分析

風(fēng)險計算原理可以用下面的范式形式化地加以說明：

風(fēng)險值=R(A,T,V)=R(L(T,V),F(Ia,Va))

R表示安全風(fēng)險計算函數(shù)

A表示資產(chǎn)

T表示威脅

V表示脆弱性

Ia表示安全事件所作用的資產(chǎn)價值

Va表示脆弱性嚴(yán)重程度

L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性

F表示安全事件發(fā)生后造成的損失

（1）計算安全事件發(fā)生的可能性

安全事件的可能性=L(威脅出現(xiàn)的頻率，脆弱性)=L(T,V)

（2）計算安全事件發(fā)生后造成的損失

安全事件造成的損失=F(資產(chǎn)價值，脆弱性嚴(yán)重程度)=F(Ia,Va)

（3）計算風(fēng)險值

風(fēng)險值=R(安全事件的可能性，安全事件造成的損失)=R(L(T,V),F(Ia,Va))

4.風(fēng)險結(jié)果判定

（1）評估風(fēng)險的等級

依據(jù)《風(fēng)險計算報告》，根據(jù)已經(jīng)制定的風(fēng)險分級準(zhǔn)測，對所有風(fēng)險計算結(jié)果進(jìn)行等級處理，形成《風(fēng)險程度等級列表》

（2）綜合評估風(fēng)險狀況

需要匯總各項輸出文檔和《風(fēng)險程度等級列表》，綜合評價風(fēng)險狀況，形成《風(fēng)險評估報告》

5.風(fēng)險處理計劃

6.殘余風(fēng)險評估

6.2.4風(fēng)險評估文檔

注：以上內(nèi)容來源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除

查看更多：CISP知識點整理第六章匯總