CISP共有共包括信息安全保障、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规五个知识类,希赛网CISP教材大纲栏目,为大家整理了CISP知识点梳理,详情如下:
第三章:知识域:信息安全管理
3.2 知识子域:信息安全风险管理
3.2.3安全风险管理基本过程
四个阶段:背景建立、风险评估、风险处理、批准监督
两个贯穿:监控检查、沟通咨询
1.背景建立
确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析
背景建立的过程包括风险管理准备、信息系统调查、信息系统分析和信息安全分析4个阶段
2.风险评估
确定信息资产的价值、识别适用的威胁和脆弱点、识别现有控制措施及其对已识别风险的影响,确定潜在后果,对风险进行最终的优先级排序,并按照风险范畴中设定的风险评价准则进行排名
风险评估的过程包括风险评估准备、风险要素识别、风险分析和风险结果判定4个阶段
本阶段的最终输出《风险评估报告》
3.风险处理
风险处理的目的是为了将风险始终控制在可接受的范围内
风险处理的方式主要有降低、规避、转移和接受4种方式
降低方式:对面临风险的资产采取保护措施来降低风险,比如采用法律的手段;采取身份认证措施;及时给系统打补丁,关闭无用的网络服务端口;采用各种防护措施;采取容灾备份、应急响应和业务连续计划等措施
规避方式:当风险不能被降低时,通过不使用面临风险的资产来避免风险
转移方式:只有在风险既不能被降低,又不能被规避时,通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险,比如外包给满足安全保障要求的第三方机构;上保险
接受方式:选择对风险不采取进一步的处理措施,接受风险可能带来的结果
风险处理的发过程包括现存风险判断、处理目标确立、处理措施选择和处理措施实施4个阶段
形成《风险处理实施记录》
4.批准监督
批准监督包括批准和持续监督两部分
批准,决策层做出是否认可风险管理活动的决定
批准通过的依据有两个:一是信息系统的残余风险是可接受的;二是安全措施能够满足信息系统当前业务的安全需求
5.监控审查
监控,是监视和控制
审查时跟踪受保护系统自身或所处环境的变化,以保证结果的有效性和符合性
监控审查包括3方面:监控过程有效性、监控成本有效性、审查结果有效性和符合性
6.沟通咨询
注:以上内容来源于网络,如有侵权,可联系客服删除
