CISP共有共包括信息安全保障、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规五个知识类,希赛网CISP教材大纲栏目,为大家整理了CISP知识点梳理,详情如下:
6.2知识子域:安全评估实施
6.2.2 风险评估途径与方式方法
1.风险评估途径
(1)基线评估(Baseline Risk Assessment,BRA)
(2)详细评估
(3)组合评估
采用基于基线评估与详细评估两者之间的评估方式
2.风险评估方式
(1)自评估
由组织自身发起
自评估可由发起方实施或委托风险评估服务技术支持方实施
(2)检查评估
由被评估组织的上级主管机关或业务主管机关发起
检查评估时强制性的检查活动
检查评估也可委托风险评估服务技术支持方实施
要对实施检查评估机构的资质进行严格管理
3.风险评估方法
(1)基于知识的分析方法
(2)定量分析
风险评估的整个过程和结果都可以被量化
首先识别资产并为资产赋值,然后通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即EF(取值为0%~100%)
暴漏因子EF
单一预期损失SLE
SLE=EF*资产价值
年度预期损失ALE
ALE=SLE*年度发生率(ARO)
(3)定性分析
需要凭借分析者的经验和直觉,或业界的标准和管理,为风险诸要素的大小或高低程度定性分级,定性分析更具主观性
(4)定性与定量分析的区别
注:以上内容来源于网络,如有侵权,可联系客服删除
查看更多:CISP知识点整理第六章汇总
