摘要:CISP的考試每個(gè)月都有,考試內(nèi)容共有10個(gè)知識(shí)域,內(nèi)含不同的知識(shí)子域,希賽網(wǎng)CISP頻道為您整理CISP考試教材的知識(shí)點(diǎn),第三章:信息安全管理。更多消息請(qǐng)持續(xù)關(guān)注。
CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個(gè)知識(shí)類(lèi),希賽網(wǎng)CISP教材大綱欄目,為大家整理了CISP知識(shí)點(diǎn)梳理,詳情如下:
第三章:知識(shí)域:信息安全管理
3.2 知識(shí)子域:信息安全風(fēng)險(xiǎn)管理
3.2.3安全風(fēng)險(xiǎn)管理基本過(guò)程
四個(gè)階段:背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督
兩個(gè)貫穿:監(jiān)控檢查、溝通咨詢
1.背景建立
確定風(fēng)險(xiǎn)管理的對(duì)象和范圍,確立實(shí)施風(fēng)險(xiǎn)管理的準(zhǔn)備,進(jìn)行相關(guān)信息的調(diào)查和分析
背景建立的過(guò)程包括風(fēng)險(xiǎn)管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析4個(gè)階段
2.風(fēng)險(xiǎn)評(píng)估
確定信息資產(chǎn)的價(jià)值、識(shí)別適用的威脅和脆弱點(diǎn)、識(shí)別現(xiàn)有控制措施及其對(duì)已識(shí)別風(fēng)險(xiǎn)的影響,確定潛在后果,對(duì)風(fēng)險(xiǎn)進(jìn)行最終的優(yōu)先級(jí)排序,并按照風(fēng)險(xiǎn)范疇中設(shè)定的風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則進(jìn)行排名
風(fēng)險(xiǎn)評(píng)估的過(guò)程包括風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)要素識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)結(jié)果判定4個(gè)階段
本階段的最終輸出《風(fēng)險(xiǎn)評(píng)估報(bào)告》
3.風(fēng)險(xiǎn)處理
風(fēng)險(xiǎn)處理的目的是為了將風(fēng)險(xiǎn)始終控制在可接受的范圍內(nèi)
風(fēng)險(xiǎn)處理的方式主要有降低、規(guī)避、轉(zhuǎn)移和接受4種方式
降低方式:對(duì)面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施來(lái)降低風(fēng)險(xiǎn),比如采用法律的手段;采取身份認(rèn)證措施;及時(shí)給系統(tǒng)打補(bǔ)丁,關(guān)閉無(wú)用的網(wǎng)絡(luò)服務(wù)端口;采用各種防護(hù)措施;采取容災(zāi)備份、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)計(jì)劃等措施
規(guī)避方式:當(dāng)風(fēng)險(xiǎn)不能被降低時(shí),通過(guò)不使用面臨風(fēng)險(xiǎn)的資產(chǎn)來(lái)避免風(fēng)險(xiǎn)
轉(zhuǎn)移方式:只有在風(fēng)險(xiǎn)既不能被降低,又不能被規(guī)避時(shí),通過(guò)將面臨風(fēng)險(xiǎn)的資產(chǎn)或其價(jià)值轉(zhuǎn)移到更安全的地方來(lái)避免或降低風(fēng)險(xiǎn),比如外包給滿足安全保障要求的第三方機(jī)構(gòu);上保險(xiǎn)
接受方式:選擇對(duì)風(fēng)險(xiǎn)不采取進(jìn)一步的處理措施,接受風(fēng)險(xiǎn)可能帶來(lái)的結(jié)果
風(fēng)險(xiǎn)處理的發(fā)過(guò)程包括現(xiàn)存風(fēng)險(xiǎn)判斷、處理目標(biāo)確立、處理措施選擇和處理措施實(shí)施4個(gè)階段
形成《風(fēng)險(xiǎn)處理實(shí)施記錄》
4.批準(zhǔn)監(jiān)督
批準(zhǔn)監(jiān)督包括批準(zhǔn)和持續(xù)監(jiān)督兩部分
批準(zhǔn),決策層做出是否認(rèn)可風(fēng)險(xiǎn)管理活動(dòng)的決定
批準(zhǔn)通過(guò)的依據(jù)有兩個(gè):一是信息系統(tǒng)的殘余風(fēng)險(xiǎn)是可接受的;二是安全措施能夠滿足信息系統(tǒng)當(dāng)前業(yè)務(wù)的安全需求
5.監(jiān)控審查
監(jiān)控,是監(jiān)視和控制
審查時(shí)跟蹤受保護(hù)系統(tǒng)自身或所處環(huán)境的變化,以保證結(jié)果的有效性和符合性
監(jiān)控審查包括3方面:監(jiān)控過(guò)程有效性、監(jiān)控成本有效性、審查結(jié)果有效性和符合性
6.溝通咨詢
注:以上內(nèi)容來(lái)源于網(wǎng)絡(luò),如有侵權(quán),可聯(lián)系客服刪除