摘要:CISP的考試每個(gè)月都有,考試內(nèi)容共有10個(gè)知識(shí)域,內(nèi)含不同的知識(shí)子域,希賽網(wǎng)CISP頻道為您整理CISP考試教材的知識(shí)點(diǎn),第六章:安全評(píng)估基礎(chǔ)。更多消息請(qǐng)持續(xù)關(guān)注。
CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個(gè)知識(shí)類,希賽網(wǎng)CISP教材大綱欄目,為大家整理了CISP知識(shí)點(diǎn)梳理,詳情如下:
6.1知識(shí)子域:安全評(píng)估基礎(chǔ)
6.1.1安全評(píng)估概念
1.安全評(píng)估基本概念
安全評(píng)估也稱作安全風(fēng)險(xiǎn)評(píng)估,是針對(duì)資產(chǎn)潛在影響正常執(zhí)行其職能的行為產(chǎn)生干擾或者破壞的因素進(jìn)行識(shí)別、評(píng)價(jià)的過(guò)程。
風(fēng)險(xiǎn)評(píng)估工作包括以下方面:
確定保護(hù)的對(duì)象是什么?它們的直接和間接價(jià)值是什么?
資產(chǎn)面臨哪些威脅?威脅類型及存在原因?可能性有多大?
資產(chǎn)中存在哪些弱點(diǎn)可能會(huì)被威脅所利用?利用的難易程度如何?
一旦威脅事件發(fā)生,組織會(huì)遭受怎樣的損失或者面臨怎樣的負(fù)面影響?
組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險(xiǎn)帶來(lái)的損失降到最低程度
2.安全評(píng)估的價(jià)值
(1)信息安全風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)的起點(diǎn)和基礎(chǔ)
分析其在保密性、完整性、可用性等方面所面臨的風(fēng)險(xiǎn),揭示組織機(jī)構(gòu)的風(fēng)險(xiǎn)狀況并提出改進(jìn)風(fēng)險(xiǎn)狀況的建議的工作。
(2)信息安全風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)和管理的科學(xué)方法
信息系統(tǒng)的安全性取決于系統(tǒng)的資產(chǎn)、脆弱性、威脅、已有措施等多種安全要素,取決于這些要素之間的關(guān)系以及與系統(tǒng)環(huán)境的關(guān)系。
風(fēng)險(xiǎn)評(píng)估是一種理論與實(shí)踐相結(jié)合的工作方法
(3)風(fēng)險(xiǎn)評(píng)估實(shí)際上是在倡導(dǎo)一種適度安全
(4)保護(hù)網(wǎng)絡(luò)空間安全的核心要素和重要手段
3.安全評(píng)估工具
風(fēng)險(xiǎn)評(píng)估的工具可以分成風(fēng)險(xiǎn)評(píng)估與管理工具、系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具、風(fēng)險(xiǎn)評(píng)估輔助工具3類。
(1)風(fēng)險(xiǎn)評(píng)估與管理工具
綜合類工具
根據(jù)實(shí)現(xiàn)方法的不同,風(fēng)險(xiǎn)評(píng)估與管理工具可以分為3類:基于信息安全標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估與管理工具,基于知識(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具和基于模型的風(fēng)險(xiǎn)評(píng)估與管理工具。
(2)系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具
基于特定廠商或產(chǎn)品的工具
此類工具包括脆弱性掃描工具和滲透性測(cè)試工具
(3)風(fēng)險(xiǎn)評(píng)估輔助工具
專項(xiàng)工具
風(fēng)險(xiǎn)評(píng)估輔助工具則實(shí)現(xiàn)對(duì)數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢(shì)分析等單項(xiàng)功能,為風(fēng)險(xiǎn)評(píng)估各要素的賦值、定級(jí)提供依據(jù)。
注:以上內(nèi)容來(lái)源于網(wǎng)絡(luò),如有侵權(quán),可聯(lián)系客服刪除\