2022年CISP教材知識點整理：風險評估基本過程

CISP共有共包括信息安全保障、信息安全技術、信息安全管理、信息安全工程和信息安全標準法規(guī)五個知識類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

6.2知識子域：安全評估實施

6.2.3 風險評估基本過程

1.風險評估準備

風險評估實施前需要做七個工作

（1）確定風險評估的目標

（2）確定風險評估的范圍

（3）組建適當?shù)脑u估管理與實施團隊

（4）進行系統(tǒng)調(diào)研

（5）確定評估依據(jù)和方法

如定性風險分析、定量風險分析、或是半定量風險分析

（6）制訂風險評估方案

（7）獲得較高管理者對風險評估工作的支持

2.風險識別

（1）資產(chǎn)識別

資產(chǎn)識別包括對組織機構資產(chǎn)分類、分級、形態(tài)及資產(chǎn)價值的評估

資產(chǎn)分類與登記

資產(chǎn)清單作為資產(chǎn)登記的重要輸出

識別資產(chǎn)的有效手段是資產(chǎn)清單

資產(chǎn)賦值

保密性賦值

完整性賦值

可用性賦值

重要性賦值

資產(chǎn)評估原則

獨立性原則

客觀公正性原則

科學性原則

（2）威脅識別

判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容

（3）脆弱性識別

（4）確認已有的控制措施

確認已有的安全措施，需要依據(jù)背景建立階段輸出的3個報告，即《信息系統(tǒng)的描述報告》《信息系統(tǒng)的分析報告》《信息系統(tǒng)的安全要求報告》來確認已有的安全措施，包括技術層面（物理平臺、系統(tǒng)平臺、網(wǎng)路平臺和應用平臺）的安全功能、組織層面（組織結(jié)構、崗位和人員）的安全控制和管理層面（策略、規(guī)章和制度）的安全對策，形成《已有安全措施列表》

3.風險分析

風險計算原理可以用下面的范式形式化地加以說明：

風險值=R(A,T,V)=R(L(T,V),F(Ia,Va))

R表示安全風險計算函數(shù)

A表示資產(chǎn)

T表示威脅

V表示脆弱性

Ia表示安全事件所作用的資產(chǎn)價值

Va表示脆弱性嚴重程度

L表示威脅利用資產(chǎn)的脆弱性導致安全事件的可能性

F表示安全事件發(fā)生后造成的損失

（1）計算安全事件發(fā)生的可能性

安全事件的可能性=L(威脅出現(xiàn)的頻率，脆弱性)=L(T,V)

（2）計算安全事件發(fā)生后造成的損失

安全事件造成的損失=F(資產(chǎn)價值，脆弱性嚴重程度)=F(Ia,Va)

（3）計算風險值

風險值=R(安全事件的可能性，安全事件造成的損失)=R(L(T,V),F(Ia,Va))

4.風險結(jié)果判定

（1）評估風險的等級

依據(jù)《風險計算報告》，根據(jù)已經(jīng)制定的風險分級準測，對所有風險計算結(jié)果進行等級處理，形成《風險程度等級列表》

（2）綜合評估風險狀況

需要匯總各項輸出文檔和《風險程度等級列表》，綜合評價風險狀況，形成《風險評估報告》

5.風險處理計劃

6.殘余風險評估

6.2.4風險評估文檔

注：以上內(nèi)容來源于網(wǎng)絡，如有侵權，可聯(lián)系客服刪除

查看更多：CISP知識點整理第六章匯總