2022年CISP教材知識點整理：安全風險管理基本過程

CISP共有共包括信息安全保障、信息安全技術、信息安全管理、信息安全工程和信息安全標準法規(guī)五個知識類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

第三章：知識域：信息安全管理

3.2 知識子域：信息安全風險管理

3.2.3安全風險管理基本過程

四個階段：背景建立、風險評估、風險處理、批準監(jiān)督

兩個貫穿：監(jiān)控檢查、溝通咨詢

1.背景建立

確定風險管理的對象和范圍，確立實施風險管理的準備，進行相關信息的調查和分析

背景建立的過程包括風險管理準備、信息系統(tǒng)調查、信息系統(tǒng)分析和信息安全分析4個階段

2.風險評估

確定信息資產的價值、識別適用的威脅和脆弱點、識別現(xiàn)有控制措施及其對已識別風險的影響，確定潛在后果，對風險進行最終的優(yōu)先級排序，并按照風險范疇中設定的風險評價準則進行排名

風險評估的過程包括風險評估準備、風險要素識別、風險分析和風險結果判定4個階段

本階段的最終輸出《風險評估報告》

3.風險處理

風險處理的目的是為了將風險始終控制在可接受的范圍內

風險處理的方式主要有降低、規(guī)避、轉移和接受4種方式

降低方式：對面臨風險的資產采取保護措施來降低風險，比如采用法律的手段；采取身份認證措施；及時給系統(tǒng)打補丁，關閉無用的網(wǎng)絡服務端口；采用各種防護措施；采取容災備份、應急響應和業(yè)務連續(xù)計劃等措施

規(guī)避方式：當風險不能被降低時，通過不使用面臨風險的資產來避免風險

轉移方式：只有在風險既不能被降低，又不能被規(guī)避時，通過將面臨風險的資產或其價值轉移到更安全的地方來避免或降低風險，比如外包給滿足安全保障要求的第三方機構；上保險

接受方式：選擇對風險不采取進一步的處理措施，接受風險可能帶來的結果

風險處理的發(fā)過程包括現(xiàn)存風險判斷、處理目標確立、處理措施選擇和處理措施實施4個階段

形成《風險處理實施記錄》

4.批準監(jiān)督

批準監(jiān)督包括批準和持續(xù)監(jiān)督兩部分

批準，決策層做出是否認可風險管理活動的決定

批準通過的依據(jù)有兩個：一是信息系統(tǒng)的殘余風險是可接受的；二是安全措施能夠滿足信息系統(tǒng)當前業(yè)務的安全需求

5.監(jiān)控審查

監(jiān)控，是監(jiān)視和控制

審查時跟蹤受保護系統(tǒng)自身或所處環(huán)境的變化，以保證結果的有效性和符合性

監(jiān)控審查包括3方面：監(jiān)控過程有效性、監(jiān)控成本有效性、審查結果有效性和符合性

6.溝通咨詢