CISP共有共包括信息安全保障、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规五个知识类,希赛网CISP教材大纲栏目,为大家整理了CISP知识点梳理,详情如下:
6.1知识子域:安全评估基础
6.1.1安全评估概念
1.安全评估基本概念
安全评估也称作安全风险评估,是针对资产潜在影响正常执行其职能的行为产生干扰或者破坏的因素进行识别、评价的过程。
风险评估工作包括以下方面:
确定保护的对象是什么?它们的直接和间接价值是什么?
资产面临哪些威胁?威胁类型及存在原因?可能性有多大?
资产中存在哪些弱点可能会被威胁所利用?利用的难易程度如何?
一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?
组织应该采取怎样的安全措施才能将风险带来的损失降到最低程度
2.安全评估的价值
(1)信息安全风险评估是信息安全建设的起点和基础
分析其在保密性、完整性、可用性等方面所面临的风险,揭示组织机构的风险状况并提出改进风险状况的建议的工作。
(2)信息安全风险评估是信息安全建设和管理的科学方法
信息系统的安全性取决于系统的资产、脆弱性、威胁、已有措施等多种安全要素,取决于这些要素之间的关系以及与系统环境的关系。
风险评估是一种理论与实践相结合的工作方法
(3)风险评估实际上是在倡导一种适度安全
(4)保护网络空间安全的核心要素和重要手段
3.安全评估工具
风险评估的工具可以分成风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具3类。
(1)风险评估与管理工具
综合类工具
根据实现方法的不同,风险评估与管理工具可以分为3类:基于信息安全标准的风险评估与管理工具,基于知识的风险评估与管理工具和基于模型的风险评估与管理工具。
(2)系统基础平台风险评估工具
基于特定厂商或产品的工具
此类工具包括脆弱性扫描工具和渗透性测试工具
(3)风险评估辅助工具
专项工具
风险评估辅助工具则实现对数据的采集、现状分析和趋势分析等单项功能,为风险评估各要素的赋值、定级提供依据。
注:以上内容来源于网络,如有侵权,可联系客服删除\
查看更多:CISP知识点整理第六章汇总
