2022年CISP教材知識點整理:風(fēng)險評估基本過程

CISP 責(zé)任編輯:肖穎慧 2022-04-12

摘要:CISP的考試每個月都有,考試內(nèi)容共有10個知識域,內(nèi)含不同的知識子域,希賽網(wǎng)CISP頻道為您整理CISP考試教材的知識點,第六章:安全評估基礎(chǔ)。更多消息請持續(xù)關(guān)注。

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標準法規(guī)五個知識類,希賽網(wǎng)CISP教材大綱欄目,為大家整理了CISP知識點梳理,詳情如下:

6.2知識子域:安全評估實施

6.2.3 風(fēng)險評估基本過程

1.風(fēng)險評估準備

風(fēng)險評估實施前需要做七個工作

(1)確定風(fēng)險評估的目標

(2)確定風(fēng)險評估的范圍

(3)組建適當(dāng)?shù)脑u估管理與實施團隊

(4)進行系統(tǒng)調(diào)研

(5)確定評估依據(jù)和方法

如定性風(fēng)險分析、定量風(fēng)險分析、或是半定量風(fēng)險分析

(6)制訂風(fēng)險評估方案

(7)獲得較高管理者對風(fēng)險評估工作的支持

2.風(fēng)險識別

(1)資產(chǎn)識別

資產(chǎn)識別包括對組織機構(gòu)資產(chǎn)分類、分級、形態(tài)及資產(chǎn)價值的評估

資產(chǎn)分類與登記

資產(chǎn)清單作為資產(chǎn)登記的重要輸出

識別資產(chǎn)的有效手段是資產(chǎn)清單

資產(chǎn)賦值

保密性賦值

完整性賦值

可用性賦值

重要性賦值

資產(chǎn)評估原則

獨立性原則

客觀公正性原則

科學(xué)性原則

(2)威脅識別

判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容

(3)脆弱性識別

(4)確認已有的控制措施

確認已有的安全措施,需要依據(jù)背景建立階段輸出的3個報告,即《信息系統(tǒng)的描述報告》《信息系統(tǒng)的分析報告》《信息系統(tǒng)的安全要求報告》來確認已有的安全措施,包括技術(shù)層面(物理平臺、系統(tǒng)平臺、網(wǎng)路平臺和應(yīng)用平臺)的安全功能、組織層面(組織結(jié)構(gòu)、崗位和人員)的安全控制和管理層面(策略、規(guī)章和制度)的安全對策,形成《已有安全措施列表》

3.風(fēng)險分析

風(fēng)險計算原理可以用下面的范式形式化地加以說明:

風(fēng)險值=R(A,T,V)=R(L(T,V),F(Ia,Va))

R表示安全風(fēng)險計算函數(shù)

A表示資產(chǎn)

T表示威脅

V表示脆弱性

Ia表示安全事件所作用的資產(chǎn)價值

Va表示脆弱性嚴重程度

L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性

F表示安全事件發(fā)生后造成的損失

(1)計算安全事件發(fā)生的可能性

安全事件的可能性=L(威脅出現(xiàn)的頻率,脆弱性)=L(T,V)

(2)計算安全事件發(fā)生后造成的損失

安全事件造成的損失=F(資產(chǎn)價值,脆弱性嚴重程度)=F(Ia,Va)

(3)計算風(fēng)險值

風(fēng)險值=R(安全事件的可能性,安全事件造成的損失)=R(L(T,V),F(Ia,Va))

4.風(fēng)險結(jié)果判定

(1)評估風(fēng)險的等級

依據(jù)《風(fēng)險計算報告》,根據(jù)已經(jīng)制定的風(fēng)險分級準測,對所有風(fēng)險計算結(jié)果進行等級處理,形成《風(fēng)險程度等級列表》

(2)綜合評估風(fēng)險狀況

需要匯總各項輸出文檔和《風(fēng)險程度等級列表》,綜合評價風(fēng)險狀況,形成《風(fēng)險評估報告》

5.風(fēng)險處理計劃

6.殘余風(fēng)險評估

6.2.4風(fēng)險評估文檔

注:以上內(nèi)容來源于網(wǎng)絡(luò),如有侵權(quán),可聯(lián)系客服刪除

查看更多:CISP知識點整理第六章匯總

更多課程
更多真題
溫馨提示:因考試政策、內(nèi)容不斷變化與調(diào)整,本網(wǎng)站提供的以上信息僅供參考,如有異議,請考生以權(quán)威部門公布的內(nèi)容為準!