CISP共有共包括信息安全保障、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规五个知识类,希赛网CISP教材大纲栏目,为大家整理了CISP知识点梳理,详情如下:
第三章:知识域:信息安全管理
3.2 知识子域:信息安全风险管理
3.2.1风险管理基本概念
信息安全风险管理是基于分概念的信息安全管理,也就是始终以风险为主线进行信息安全的管理
1.风险与风险管理
威胁利用脆弱性作用于资产产生影响
2.风险管理的价值
为了使风险管理有效,一个组织应在所有层面上符合以下原则
(1)风险管理创造和保护价值
(2)风险管理是所有组织过程不可分割的一部分
(3)风险管理是决策的一部分
(4)风险管理明确地应对不确定性
(5)风险管理是体系化、结构化的过程
(6)风险管理是基于最好的可获得的信息
(7)风险管理是可裁剪的
(8)风险管理考虑人员和文化因素
(9)风险管理是透明的,参与人员包含广泛
(10)风险管理是动态的、反复的、响应变化的
(11)风险管理促进组织的持续改进
(12)不断或定期重新评估
3.风险管理角色和责任
参与角色一般分为信息安全主管机关、业务主管机关、信息系统拥有者/运营者、信息系统承建者、信息系统安全服务机构、信息系统的关联着
注:以上内容来源于网络,如有侵权,可联系客服删除
