CISP共有共包括信息安全保障、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规五个知识类,希赛网CISP教材大纲栏目,为大家整理了CISP知识点梳理,详情如下:
6.2知识子域:安全评估实施
6.2.3 风险评估基本过程
1.风险评估准备
风险评估实施前需要做七个工作
(1)确定风险评估的目标
(2)确定风险评估的范围
(3)组建适当的评估管理与实施团队
(4)进行系统调研
(5)确定评估依据和方法
如定性风险分析、定量风险分析、或是半定量风险分析
(6)制订风险评估方案
(7)获得较高管理者对风险评估工作的支持
2.风险识别
(1)资产识别
资产识别包括对组织机构资产分类、分级、形态及资产价值的评估
资产分类与登记
资产清单作为资产登记的重要输出
识别资产的有效手段是资产清单
资产赋值
保密性赋值
完整性赋值
可用性赋值
重要性赋值
资产评估原则
独立性原则
客观公正性原则
科学性原则
(2)威胁识别
判断威胁出现的频率是威胁赋值的重要内容
(3)脆弱性识别
(4)确认已有的控制措施
确认已有的安全措施,需要依据背景建立阶段输出的3个报告,即《信息系统的描述报告》《信息系统的分析报告》《信息系统的安全要求报告》来确认已有的安全措施,包括技术层面(物理平台、系统平台、网路平台和应用平台)的安全功能、组织层面(组织结构、岗位和人员)的安全控制和管理层面(策略、规章和制度)的安全对策,形成《已有安全措施列表》
3.风险分析
风险计算原理可以用下面的范式形式化地加以说明:
风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))
R表示安全风险计算函数
A表示资产
T表示威胁
V表示脆弱性
Ia表示安全事件所作用的资产价值
Va表示脆弱性严重程度
L表示威胁利用资产的脆弱性导致安全事件的可能性
F表示安全事件发生后造成的损失
(1)计算安全事件发生的可能性
安全事件的可能性=L(威胁出现的频率,脆弱性)=L(T,V)
(2)计算安全事件发生后造成的损失
安全事件造成的损失=F(资产价值,脆弱性严重程度)=F(Ia,Va)
(3)计算风险值
风险值=R(安全事件的可能性,安全事件造成的损失)=R(L(T,V),F(Ia,Va))
4.风险结果判定
(1)评估风险的等级
依据《风险计算报告》,根据已经制定的风险分级准测,对所有风险计算结果进行等级处理,形成《风险程度等级列表》
(2)综合评估风险状况
需要汇总各项输出文档和《风险程度等级列表》,综合评价风险状况,形成《风险评估报告》
5.风险处理计划
6.残余风险评估
6.2.4风险评估文档
注:以上内容来源于网络,如有侵权,可联系客服删除
查看更多:CISP知识点整理第六章汇总
