2022年CISP教材知識點整理：風險評估基本過程

CISP共有共包括信息安全保障、信息安全技術、信息安全管理、信息安全工程和信息安全標準法規(guī)五個知識類，希賽網CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

6.2知識子域：安全評估實施

6.2.3 風險評估基本過程

1.風險評估準備

風險評估實施前需要做七個工作

（1）確定風險評估的目標

（2）確定風險評估的范圍

（3）組建適當的評估管理與實施團隊

（4）進行系統(tǒng)調研

（5）確定評估依據和方法

如定性風險分析、定量風險分析、或是半定量風險分析

（6）制訂風險評估方案

（7）獲得較高管理者對風險評估工作的支持

2.風險識別

（1）資產識別

資產識別包括對組織機構資產分類、分級、形態(tài)及資產價值的評估

資產分類與登記

資產清單作為資產登記的重要輸出

識別資產的有效手段是資產清單

資產賦值

保密性賦值

完整性賦值

可用性賦值

重要性賦值

資產評估原則

獨立性原則

客觀公正性原則

科學性原則

（2）威脅識別

判斷威脅出現的頻率是威脅賦值的重要內容

（3）脆弱性識別

（4）確認已有的控制措施

確認已有的安全措施，需要依據背景建立階段輸出的3個報告，即《信息系統(tǒng)的描述報告》《信息系統(tǒng)的分析報告》《信息系統(tǒng)的安全要求報告》來確認已有的安全措施，包括技術層面（物理平臺、系統(tǒng)平臺、網路平臺和應用平臺）的安全功能、組織層面（組織結構、崗位和人員）的安全控制和管理層面（策略、規(guī)章和制度）的安全對策，形成《已有安全措施列表》

3.風險分析

風險計算原理可以用下面的范式形式化地加以說明：

風險值=R(A,T,V)=R(L(T,V),F(Ia,Va))

R表示安全風險計算函數

A表示資產

T表示威脅

V表示脆弱性

Ia表示安全事件所作用的資產價值

Va表示脆弱性嚴重程度

L表示威脅利用資產的脆弱性導致安全事件的可能性

F表示安全事件發(fā)生后造成的損失

（1）計算安全事件發(fā)生的可能性

安全事件的可能性=L(威脅出現的頻率，脆弱性)=L(T,V)

（2）計算安全事件發(fā)生后造成的損失

安全事件造成的損失=F(資產價值，脆弱性嚴重程度)=F(Ia,Va)

（3）計算風險值

風險值=R(安全事件的可能性，安全事件造成的損失)=R(L(T,V),F(Ia,Va))

4.風險結果判定

（1）評估風險的等級

依據《風險計算報告》，根據已經制定的風險分級準測，對所有風險計算結果進行等級處理，形成《風險程度等級列表》

（2）綜合評估風險狀況

需要匯總各項輸出文檔和《風險程度等級列表》，綜合評價風險狀況，形成《風險評估報告》

5.風險處理計劃

6.殘余風險評估

6.2.4風險評估文檔

注：以上內容來源于網絡，如有侵權，可聯系客服刪除

查看更多：CISP知識點整理第六章匯總