希賽小編為考生整理了2022年信息安全工程師考試知識點（三十一）：網絡安全風險評估實施，希望對大家備考信息安全工程師考試會有幫助。

網絡安全風險評估實施

【考法分析】

本知識點主要是對網絡安全風險評估實施的相關內容進行考查。

【要點分析】

1．網絡安全風險評估基本原則：標準性原則、可控性原則、最小影響原則。

2．識別階段是風險評估工作的重要工作階段，對組織和信息系統(tǒng)中資產、威脅、脆弱性等要素的識別，是進行信息系統(tǒng)安全風險分析的前提。

3．在風險評估工作中，風險的重要因素都已資產為中心，威脅、脆弱性以及風險都是針對資產而客觀存在的。

4．威脅利用資產自身脆弱性，是的安全事件的發(fā)生成為可能，從而形成了安全風險。

5．把資產分為硬件、軟件、數據、服務、人員、其他。

6．威脅分類方法：軟硬件故障、物理環(huán)境影響、無作為或者操作實物、管理不到位、惡意代碼、越權或濫用、網絡共計、物理共計、泄密、篡改、抵賴。

7．根據威脅產生起因、表現、后果，分為：有害程序、網絡攻擊、信息破壞、信息內容攻擊、設備設施故障、災害性破壞、其他威脅。

8．威脅調查工作包括：威脅源動機及其能力、威脅途徑、威脅可能性及其影響。

9．脆弱性是資產自身存在的，本身不會對資產造成損害；脆弱性可從技術、管理兩個方面進行識別。

10．脆弱性識別所采用的方法：文檔查閱、問卷調查、人工核查、工具檢測、滲透測試。

11．風險評估是以圍繞被評估組織核心業(yè)務開展為原則的，評估業(yè)務所面臨的安全風險。

12．風險分析的主要方法是對業(yè)務相關的資產、威脅、脆弱性、其他各項屬性的關聯分析

13．風險分析模型：

威脅識別 → 威脅出現的頻率 → 安全事件的可能性 → 風險值；

脆弱性識別 → 脆弱性的嚴重程度 → 安全事件的可能性、造成的損失 → 風險值；

資產識別 → 資產價值 → 安全事件造成的損失 → 風險值。

14．風險分析分為定性、定量，一般風險計算多采用定性計算方法。

15．風險處置方式一般包括接受、消減、轉移、規(guī)避。

16．安全整改：非常嚴重、需立即降低且加固措施易于實施的安全風險，建議被評估組織立即采取安全整改措施；非常嚴重、需立即降低，但加固措施不便于實施的安全風險，建立被評估組織立即制定安全整改實施方案，盡快實施安全整改，整改前應對相關安全隱患進行嚴密監(jiān)控，并做好應急預案。比較嚴重、需降低且加固措施不易于實施的安全風險，建議被評估組織指定限期實施的整改方案，整改前應對相關安全隱患進行監(jiān)控。

【備考點撥】

了解并理解相關知識點內容。