课程精要：cisp课程—信息安全风险管理

《课程精要：cisp课程—信息安全风险管理》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、CISP-信息安全风险管理、思想1、安全与风险，安全是可接受的低风险或风险可控，安全本质上是风险管理。信息安全保障是基于对风险管理的理解，而实施的一系列的措施（GB/T20274）2、风险管理，风险、处置则风险识别和风险的控制。风险管理（管控）=风险识别+风险处置（控制）二、基本要素及含义1、资产：凡是有价值的事物，资产分类：・硬件资产和软件资产-物理资产和逻辑资产，eg设备和逻辑结构（协议、算法）-有形资产和无形资产-静态资产和动态资产EgISMS文档文件VS对应的体系管理能力因此，1）必须同一个维度，不能漏、不能重复。2）资产描述的时候要完备性。避免！资产梳理：1）业务分解梳理方式。2

2、）资产识别是风险评估的一个工作。2、脆弱性（内）脆弱性、漏洞、弱点、不足、缺陷•……脆弱性识别（漏洞扫描器、配置核查、ISMS-C）显性、隐性的。3、威胁（外）威胁源-威胁的路径（方式、手段）-威胁的对象威胁的程度4、可能性针对一个资产来讲，威胁和脆弱性共同发生作用的概率。5、安全事件安全风险管理中，风险变为现实的一种假定。6、安全事件的影响内部影响、组织外部影响。三个要素：系统重要性、系统损失、社会影响。7、风险尚未发生安全事件及带来的影响。8＞风险处置-降低风险-规避风险-转移风险-接受风险9、残余风险-经过风险处置后还剩下的风险-风险处置后较近的时期内**三、基本要素1、资产、脆弱性

3、、威胁被称为风险三要素，或资产、脆弱性、威胁、现有安全措施称为风险四要素。2、风险评估：准备环节，风险要素识别环节（资产、脆弱性、威胁、现有安全措施），风险分析环节（可能性、安全事件及影响），风险报告环节（风险高低及报告结果、提出风险处置的建议）。3、风险管理：1）背景建立、风险评估、风险处置、批准监督。2）四个过程中，有两个贯穿：沟通咨询、监控审查四、风险管理的6部分四个阶段：1、背景建立单位属性、业务范围、业务特点、组织工作目标、地理位置、发展战略、资金投入等等。2、风险评估-准备环节：人员、工具、计划、方案等。-风险要素识别环节（资产、脆弱性、威胁、现有安全措施）-风险分析环节（可能

4、性、安全事件及影响）***-风险报告环节（风险高低及报告结果、提出风险处置的建议）。3、风险处置-风险处置计划、方案-风险处置措施（降低、规避、转移、接受）-跟踪和验证4、批准监督-对1-3工作的审核、认可、确认。・领导层对风险管理执行层工作的认可。两个贯穿：1、沟通咨询2、监控审查：一致性监控审查、进度成本方面控制、偏差的纠正。四、风险管理在信息系统各个阶段上的体现1、立项阶段2、开发阶段3、运行阶段4、废弃阶段风险（漏洞）：设计型、开发型、运行型EgTCP五、风险评估1、方式：自评估、检査评估、第三方、等级保护测评2、风险评估的政策3、风险评估的过程准备、识别、分析、报告准备环节，风险

5、要素识别坏节（资产、脆弱性、威胁、现有安全措施），风险分析环节（可能性、安全事件及影响），风险报告坏节（风险高低及报告结果、提出风险处置的建议）。4、风险评估方法1）定性方法：容易执行、依赖于经验、投入成本较低；无法衡量经济损失等。2）定量方法：直观、精确、投资收益分析；不足依赖于复杂过程、工具、程序、算法等。3）半定量（结合），要素识别的采用定性，要素的综合分析采用定量。5、公式AV、EF、SLE、ARO、ALEALE=SLE*ARO=（AV*EF）*ARO投资收益。