2022年CISP教材知識(shí)點(diǎn)整理：風(fēng)險(xiǎn)評(píng)估途徑與方式方法

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個(gè)知識(shí)類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識(shí)點(diǎn)梳理，詳情如下：

6.2知識(shí)子域：安全評(píng)估實(shí)施

6.2.2 風(fēng)險(xiǎn)評(píng)估途徑與方式方法

1.風(fēng)險(xiǎn)評(píng)估途徑

（1）基線評(píng)估（Baseline Risk Assessment，BRA）

（2）詳細(xì)評(píng)估

（3）組合評(píng)估

采用基于基線評(píng)估與詳細(xì)評(píng)估兩者之間的評(píng)估方式

2.風(fēng)險(xiǎn)評(píng)估方式

（1）自評(píng)估

由組織自身發(fā)起

自評(píng)估可由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施

（2）檢查評(píng)估

由被評(píng)估組織的上級(jí)主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起

檢查評(píng)估時(shí)強(qiáng)制性的檢查活動(dòng)

檢查評(píng)估也可委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施

要對(duì)實(shí)施檢查評(píng)估機(jī)構(gòu)的資質(zhì)進(jìn)行嚴(yán)格管理

3.風(fēng)險(xiǎn)評(píng)估方法

（1）基于知識(shí)的分析方法

（2）定量分析

風(fēng)險(xiǎn)評(píng)估的整個(gè)過(guò)程和結(jié)果都可以被量化

首先識(shí)別資產(chǎn)并為資產(chǎn)賦值，然后通過(guò)威脅和弱點(diǎn)評(píng)估，評(píng)價(jià)特定威脅作用于特定資產(chǎn)所造成的影響，即EF（取值為0%~100%）

暴漏因子EF

單一預(yù)期損失SLE

SLE=EF*資產(chǎn)價(jià)值

年度預(yù)期損失ALE

ALE=SLE*年度發(fā)生率（ARO）

（3）定性分析

需要憑借分析者的經(jīng)驗(yàn)和直覺，或業(yè)界的標(biāo)準(zhǔn)和管理，為風(fēng)險(xiǎn)諸要素的大小或高低程度定性分級(jí)，定性分析更具主觀性

（4）定性與定量分析的區(qū)別

注：以上內(nèi)容來(lái)源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除

查看更多：CISP知識(shí)點(diǎn)整理第六章匯總