XXXX版CISP0302信息安全風(fēng)險(xiǎn)管理-v30合集課件

1、信息安全風(fēng)險(xiǎn)管理培訓(xùn)機(jī)構(gòu)名稱講師姓名版本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1珍卿遜橋暮汁除啤艘購(gòu)此爪栗孔常桿酥點(diǎn)塑鎬膳蠢冠吟媚靛釜甕脫踐搖嘉XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30信息安全風(fēng)險(xiǎn)管理培訓(xùn)機(jī)構(gòu)名稱版本：3.0珍卿遜橋暮汁除啤艘購(gòu)課程內(nèi)容2知識(shí)體知識(shí)域知識(shí)子域信息安全風(fēng)險(xiǎn)管理信息安全風(fēng)險(xiǎn)管理主要內(nèi)容信息安全風(fēng)險(xiǎn)管理的基本內(nèi)容和過(guò)程信息安全風(fēng)險(xiǎn)管理概述風(fēng)險(xiǎn)相關(guān)基本概念信息系統(tǒng)生命周期與信息安全風(fēng)險(xiǎn)管理信息安全風(fēng)險(xiǎn)管理基礎(chǔ)信息安全風(fēng)險(xiǎn)相關(guān)政策與標(biāo)準(zhǔn)信息安全風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估工作形式風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)評(píng)估

2、的實(shí)施流程風(fēng)險(xiǎn)評(píng)估工具慚裂瘍姬夾射睫央彼熾游關(guān)羞直薊逸草諱讀恥缽楞樓膽艘云在侵獲灘蠅廷XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30課程內(nèi)容2知識(shí)體知識(shí)域知識(shí)子域信息安全信息安全風(fēng)險(xiǎn)信息安全風(fēng)知識(shí)域：信息安全風(fēng)險(xiǎn)管理基礎(chǔ)知識(shí)子域： 風(fēng)險(xiǎn)相關(guān)基礎(chǔ)概念理解風(fēng)險(xiǎn)的概念，理解資產(chǎn)、威脅、脆弱性、業(yè)務(wù)戰(zhàn)略、安全事件、安全需求、安全措施等風(fēng)險(xiǎn)相關(guān)概念理解風(fēng)險(xiǎn)準(zhǔn)則、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)管理、殘余風(fēng)險(xiǎn)的概念，掌握信息安全風(fēng)險(xiǎn)評(píng)估的概念理解風(fēng)險(xiǎn)相關(guān)要素之間的關(guān)系3繩赦揩揉克身慘磋鵬秒咎燙便量甚往計(jì)餐朗套苑巴珠蔫望漱生殺罕舌思蓖XXXX版-CISP03

3、02信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30知識(shí)域：信息安全風(fēng)險(xiǎn)管理基礎(chǔ)知識(shí)子域： 風(fēng)險(xiǎn)相關(guān)基礎(chǔ)概念3繩風(fēng)險(xiǎn)，指事態(tài)的概率及其結(jié)果的組合 （ GB/Z 24364-2009信息安全風(fēng)險(xiǎn)管理指南）信息安全風(fēng)險(xiǎn)，指人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響（ GB/T 20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范）信息安全風(fēng)險(xiǎn)會(huì)破壞組織信息資產(chǎn)的保密性、完整性或可用性等屬性風(fēng)險(xiǎn)、信息安全風(fēng)險(xiǎn)的概念4蒜眠螺京扶迎糧煤糞青圭寄熙傅悉于吩位火績(jī)?nèi)绽C慚廷四壟棠國(guó)楷哉鐮籍XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XX

4、XX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30風(fēng)險(xiǎn)，指事態(tài)的概率及其結(jié)果的組合 （ GB/Z 2436風(fēng)險(xiǎn)的構(gòu)成包括五個(gè)方面：起源（威脅源）、方式（威脅行為）、途徑（脆弱性）、受體（資產(chǎn)）和后果（影響）風(fēng)險(xiǎn)的構(gòu)成5盎掙么桌拘冊(cè)兆擠凍徘啟皂堿影真賞哼剃祁盼揩沙莢絆朽糠弱黔經(jīng)沁堿淋XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30風(fēng)險(xiǎn)的構(gòu)成包括五個(gè)方面：起源（威脅源）、方式（威脅行為）、途風(fēng)險(xiǎn)相關(guān)術(shù)語(yǔ)資產(chǎn)（Asset）威脅（ Threat ）脆弱性（Vunerability）可能性（Likelihood, Probability）安全措施/控

5、制措施（Countermeasure, safeguard, control）6業(yè)務(wù)戰(zhàn)略安全事件安全需求風(fēng)險(xiǎn)準(zhǔn)則風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)管理殘余風(fēng)險(xiǎn)（Residental Risk）信息安全風(fēng)險(xiǎn)評(píng)估邑涼乙柿圣彼逛蔫楔竟酒衣匙郎跪墩恕戒寸棧祝竊噎愚深曳擄禾抬坊捶挫XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30風(fēng)險(xiǎn)相關(guān)術(shù)語(yǔ)資產(chǎn)（Asset）6業(yè)務(wù)戰(zhàn)略邑涼乙柿圣彼逛蔫楔竟資產(chǎn)資產(chǎn)是任何對(duì)組織有價(jià)值的東西，是要保護(hù)的對(duì)象資產(chǎn)以多種形式存在（多種分類方法）物理的（如計(jì)算設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲(chǔ)介質(zhì)等）和邏輯的（如體系結(jié)構(gòu)、通信協(xié)議、計(jì)算程序和數(shù)據(jù)文件等）

6、硬件的（如計(jì)算機(jī)主板、機(jī)箱、顯示器、鍵盤和鼠標(biāo)等）和軟件的（如操作系統(tǒng)軟件、數(shù)據(jù)庫(kù)管理軟件、工具軟件和應(yīng)用軟件等）有形的（如機(jī)房、設(shè)備和人員等）和無(wú)形的（如品牌、信心和名譽(yù)等）靜態(tài)的（如設(shè)施和規(guī)程等）和動(dòng)態(tài)的（如人員和過(guò)程等）技術(shù)的（如計(jì)算機(jī)硬件、軟件和固件等）和管理的（如業(yè)務(wù)目標(biāo)、戰(zhàn)略、策略、規(guī)程、過(guò)程、計(jì)劃和人員等）等7油畏儈搔膽嚎芽銘髓釁鎊逞萬(wàn)抓妻惰躁勢(shì)枯猴縫磁贈(zèng)善嵌鍬齡宵糠醚腺猛XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30資產(chǎn)資產(chǎn)是任何對(duì)組織有價(jià)值的東西，是要保護(hù)的對(duì)象7油畏儈搔膽威脅可能導(dǎo)致對(duì)系統(tǒng)或組織危害的不希望事故潛在起

7、因引起風(fēng)險(xiǎn)的外因威脅源采取恰當(dāng)?shù)耐{方式才可能引發(fā)風(fēng)險(xiǎn)威脅舉例操作失誤濫用授權(quán)行為抵賴身份假冒口令攻擊密鑰分析8漏洞利用拒絕服務(wù)竊取數(shù)據(jù)物理破壞社會(huì)工程孕昆濕匹名復(fù)銹褥官呂岔汲縱礙剁弊架悶?zāi)赝我曇兔囟嗌釕颜Q擴(kuò)返昌成漁XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30威脅可能導(dǎo)致對(duì)系統(tǒng)或組織危害的不希望事故潛在起因8孕昆濕匹名脆弱性可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)造成風(fēng)險(xiǎn)的內(nèi)因脆弱性本身并不對(duì)資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時(shí)，脆弱性會(huì)被威脅源利用恰當(dāng)?shù)耐{方式對(duì)信息資產(chǎn)造成危害脆弱性舉例系統(tǒng)程序代碼缺陷系統(tǒng)設(shè)備安全配置錯(cuò)誤系統(tǒng)

8、操作流程有缺陷維護(hù)人員安全意識(shí)不足9攢硬傅惠隱擻竹唐牧奶嗎鹵鈣附逆賴澀篷它慮壘籍買道倪洛丈戶蜂諸坐喘XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30脆弱性可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)9攢硬傅惠隱可能性某件事發(fā)生的機(jī)會(huì)威脅源利用脆弱性造成不良后果的機(jī)會(huì)舉例脆弱性只有國(guó)家級(jí)測(cè)試人員采用專業(yè)工具才能利用，發(fā)生不良后果的機(jī)會(huì)很小系統(tǒng)存在漏洞，但只在與互聯(lián)網(wǎng)物理隔離的局域網(wǎng)運(yùn)行，發(fā)生不良后果的機(jī)會(huì)較小互聯(lián)網(wǎng)公開漏洞且有相應(yīng)的測(cè)試工具，發(fā)生不良后果的機(jī)會(huì)很大10翹語(yǔ)揀逃營(yíng)岔啪搪后像哼淮淹數(shù)拜郎懦啤紙邊著翌咎朋百片飯吟垛纂蜂姆XXXX版-

9、CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30可能性某件事發(fā)生的機(jī)會(huì)10翹語(yǔ)揀逃營(yíng)岔啪搪后像哼淮淹數(shù)拜郎懦對(duì)風(fēng)險(xiǎn)概念的理解威脅源采用某種威脅方式利用脆弱性造成不良后果的可能性 網(wǎng)站存在SQL注入漏洞，普通攻擊者利用自動(dòng)化攻擊工具很容易控制網(wǎng)站，修改網(wǎng)站內(nèi)容，從而損害國(guó)家政府部門聲譽(yù)11威脅源威脅方式脆弱性風(fēng)險(xiǎn)采取利用造成塑煥毋葵熏恿型涯針秩臣構(gòu)杰鴉汲梅磊墊返唇綱害狙粹役閱瞳杜浚賺耀獸XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30對(duì)風(fēng)險(xiǎn)概念的理解威脅源采用某種威脅方式利用脆弱性造成不良后果對(duì)信

10、息安全風(fēng)險(xiǎn)的理解信息安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的信息相關(guān)資產(chǎn)損失或損害的可能性信息安全風(fēng)險(xiǎn)是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性信息安全風(fēng)險(xiǎn)只考慮那些對(duì)組織有負(fù)面影響的事件12賒沾僵楓肅肺安灶女淚猾眉羚蔣庚蓮折楞啟鵑萊帥臟敬幢儒它疽掇巫庭勉XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30對(duì)信息安全風(fēng)險(xiǎn)的理解信息安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或信息安全風(fēng)險(xiǎn)評(píng)估13是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程它要評(píng)估資產(chǎn)面

11、臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響供徘緯很無(wú)憨郎塊慨飽鋸傈呼砌惦澳聽許蝶柳渣證毯村湖焚吧秸手刁閃獰XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30信息安全風(fēng)險(xiǎn)評(píng)估13是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)管理14風(fēng)險(xiǎn)處理是選擇并且執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程風(fēng)險(xiǎn)管理是識(shí)別、控制、消除或最小化可能影響系統(tǒng)資源不確定因素的過(guò)程審可日扇霜燈湍湖晤森熱凈屎嫡兄恢漫里俞點(diǎn)鵑增圾鴨集稠四鏡莫衛(wèi)困痊XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版

12、-CISP0302信息安全風(fēng)險(xiǎn)管理_v30風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)管理14風(fēng)險(xiǎn)處理是選擇并且執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的安全措施/控制措施保護(hù)資產(chǎn)，抵御威脅，減少脆弱性，降低安全事件的影響，以及打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制，它是管理風(fēng)險(xiǎn)的具體手段和方法根據(jù)安全需求部署，用來(lái)防范威脅，降低風(fēng)險(xiǎn)的措施舉例部署防火墻、入侵檢測(cè)、審計(jì)系統(tǒng)測(cè)試環(huán)節(jié)操作審批環(huán)節(jié)應(yīng)急體系終端U盤管理制度15兄真濁穿所物奶揍榴恨巒藥炔緘噪喚峨村癌儉并磋扔胎處誘喧衫損搓純鄂XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30安全措施/控制措施保護(hù)資產(chǎn)，抵御威脅，減少脆弱性，降低安全

13、事殘余風(fēng)險(xiǎn)采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)有些殘余風(fēng)險(xiǎn)是在綜合考慮了安全成本與效益后不去控制的風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會(huì)在將來(lái)誘發(fā)新的安全事件舉例風(fēng)險(xiǎn)列表中有10項(xiàng)風(fēng)險(xiǎn)，根據(jù)風(fēng)險(xiǎn)成本效益分析，只有前8項(xiàng)需要控制，則前8項(xiàng)處理后剩余的風(fēng)險(xiǎn)加上另2項(xiàng)風(fēng)險(xiǎn)為殘余風(fēng)險(xiǎn)，一段時(shí)間內(nèi)系統(tǒng)處于風(fēng)險(xiǎn)可接受水平16商算竟塘琶忍將漏煤蜀渝么佃悲仔五訓(xùn)瘡搖蓑皆八靜漬勁揀示鎊姿曝拐盡XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30殘余風(fēng)險(xiǎn)采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)16商算風(fēng)險(xiǎn)相關(guān)要素之間的關(guān)系17閏痊準(zhǔn)雇請(qǐng)穆踏寅問(wèn)消給慘覆

14、放聯(lián)砷發(fā)鹽乞鉛巷后限根融噓紋相歇皂雕蓖XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30風(fēng)險(xiǎn)相關(guān)要素之間的關(guān)系17閏痊準(zhǔn)雇請(qǐng)穆踏寅問(wèn)消給慘覆放聯(lián)砷發(fā)知識(shí)域：信息安全風(fēng)險(xiǎn)管理基礎(chǔ)知識(shí)子域： 信息安全風(fēng)險(xiǎn)管理概述理解實(shí)施風(fēng)險(xiǎn)管理的主要原則理解風(fēng)險(xiǎn)管理的范圍和對(duì)象18電奪訪況義放什橢址晤獲瓣貢頌株曾想亭靡胃?jìng)€(gè)柵鈣佰糾氧車芳團(tuán)壟鎖炸XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30知識(shí)域：信息安全風(fēng)險(xiǎn)管理基礎(chǔ)知識(shí)子域： 信息安全風(fēng)險(xiǎn)管理概述實(shí)施風(fēng)險(xiǎn)管理的主要原則風(fēng)險(xiǎn)管理創(chuàng)造和保護(hù)價(jià)值風(fēng)險(xiǎn)管理是所

15、有組織過(guò)程不可分割的一個(gè)部分，促進(jìn)組織的持續(xù)改進(jìn)風(fēng)險(xiǎn)管理是透明的，參與人員應(yīng)包含廣泛，同時(shí)考慮人員和文化因素風(fēng)險(xiǎn)管理是定制的，并具有體系化、結(jié)構(gòu)化的特點(diǎn)風(fēng)險(xiǎn)管理是動(dòng)態(tài)的、反復(fù)的和響應(yīng)變化的19懈閏籮呈瞇讓整騎鼎馳眨閻鞘花叉萍逐果襲多蠱雷蕊娟衍逸芽店坤虎俊挎XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30實(shí)施風(fēng)險(xiǎn)管理的主要原則風(fēng)險(xiǎn)管理創(chuàng)造和保護(hù)價(jià)值19懈閏籮呈瞇讓風(fēng)險(xiǎn)管理的范圍和對(duì)象信息安全的概念涵蓋了信息、信息載體和信息環(huán)境三個(gè)方面的安全信息載體指承載信息的媒介，即用于記錄、傳輸、積累和保存信息的實(shí)體，如紙張、硬盤、網(wǎng)線等信息環(huán)境指信息及

16、信息載體所處的環(huán)境，包括物理平臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)等硬環(huán)境和軟環(huán)境信息安全風(fēng)險(xiǎn)管理涉及信息安全上述三個(gè)方面包含的所有相關(guān)對(duì)象對(duì)于一個(gè)具體的信息系統(tǒng)，風(fēng)險(xiǎn)管理選擇的范圍和對(duì)象重點(diǎn)應(yīng)有所不同20站卡唾雹尤吭裙驟逞菏喻螺淌畦爺歡班山粱捕秋吻肇礬逞陣矽眩諺凈被舵XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30風(fēng)險(xiǎn)管理的范圍和對(duì)象信息安全的概念涵蓋了信息、信息載體和信息知識(shí)域：信息安全風(fēng)險(xiǎn)管理基礎(chǔ)知識(shí)子域： 信息安全風(fēng)險(xiǎn)相關(guān)政策與標(biāo)準(zhǔn)了解我國(guó)有關(guān)信息安全風(fēng)險(xiǎn)管理的政策要求了解信息安全風(fēng)險(xiǎn)管理相關(guān)的國(guó)內(nèi)外標(biāo)準(zhǔn)21誕砒容屆壟姚鼎態(tài)浩事鈣貓掩

17、鑼蚤方刷弘哺攀翻梨疇殃哺拜褥逆仕場(chǎng)份俞XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30知識(shí)域：信息安全風(fēng)險(xiǎn)管理基礎(chǔ)知識(shí)子域： 信息安全風(fēng)險(xiǎn)相關(guān)政策我國(guó)有關(guān)信息安全風(fēng)險(xiǎn)管理的政策要求國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)200327號(hào)）明確提出要重視信息安全風(fēng)險(xiǎn)評(píng)估工作，將風(fēng)險(xiǎn)評(píng)估作為提高我國(guó)信息安全保障水平的一項(xiàng)重要舉措關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見（國(guó)信辦20065號(hào)），就信息安全風(fēng)險(xiǎn)評(píng)估工作的基本內(nèi)容和原則，以及開展信息安全風(fēng)險(xiǎn)評(píng)估工作的有關(guān)安排等做出規(guī)定和部署關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作

18、的通知（發(fā)改高技20082071號(hào)），規(guī)范了國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作22言刊霄病傭定租駐梧冗馱梭靡躥堆河瑰砸棱篆發(fā)文傷硒婁剮岸棧倚屎鮮頤XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30我國(guó)有關(guān)信息安全風(fēng)險(xiǎn)管理的政策要求國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見 （國(guó)信辦20065號(hào)）的實(shí)施要求信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期。規(guī)劃設(shè)計(jì)階段、驗(yàn)收時(shí)均應(yīng)實(shí)施風(fēng)險(xiǎn)評(píng)估；運(yùn)行后應(yīng)定期實(shí)施應(yīng)通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估為信息系統(tǒng)確定安全等級(jí)提供依據(jù)，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果檢驗(yàn)網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平是否符合等級(jí)

19、保護(hù)的要求23舟迅煙騷宋駱轄攻尾訂虹蘑羨術(shù)變劇鍍饋妊待簾性未謎痕餒昏車錯(cuò)麓襄秉XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見 （國(guó)信辦2006關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見（國(guó)信辦20065號(hào)）的管理要求為規(guī)避由于風(fēng)險(xiǎn)評(píng)估工作而引入新的安全風(fēng)險(xiǎn)，必須高度重視信息安全風(fēng)險(xiǎn)評(píng)估的組織管理工作。要求：參與信息安全風(fēng)險(xiǎn)評(píng)估工作的單位及其有關(guān)人員必須遵守國(guó)家有關(guān)信息安全的法律法規(guī)，并承擔(dān)相應(yīng)的責(zé)任和義務(wù)風(fēng)險(xiǎn)評(píng)估工作的發(fā)起方必須采取相應(yīng)保密措施，并與參與評(píng)估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議對(duì)關(guān)系國(guó)計(jì)

20、民生和社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作必須遵循國(guó)家的有關(guān)規(guī)定進(jìn)行 24翠橋傭糧潮濕拯鶴但汕風(fēng)縷汲嶼瀕封叼昆色剩飯莫楚劃企翅恥夏罕熾桔覆XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見（國(guó)信辦20065關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知（發(fā)改高技【2008】2071號(hào)）電子政務(wù)工程建設(shè)項(xiàng)目應(yīng)開展信息安全風(fēng)險(xiǎn)評(píng)估工作項(xiàng)目建設(shè)單位應(yīng)在試運(yùn)行期間開展風(fēng)險(xiǎn)評(píng)估工作，作為項(xiàng)目驗(yàn)收的重要依據(jù)項(xiàng)目驗(yàn)收申請(qǐng)時(shí)，應(yīng)提交信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告系統(tǒng)投入運(yùn)行后，應(yīng)定期開展信息安全風(fēng)險(xiǎn)

21、評(píng)估25做蜘糯癥綸給該季早貢邢認(rèn)播纖柄酥怖喘安橇乍雇里遏詣獻(xiàn)荊肯轎斃老淄XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知信息安全風(fēng)險(xiǎn)管理相關(guān)的國(guó)內(nèi)外標(biāo)準(zhǔn)GB/T 20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/Z 24364-2009信息安全風(fēng)險(xiǎn)管理指南ISO/IEC 27005:2011信息安全風(fēng)險(xiǎn)管理ISO GUIDE 73:2009風(fēng)險(xiǎn)管理術(shù)語(yǔ)ISO 31000:2009風(fēng)險(xiǎn)管理主要原則和指南IEC/ISO 31010:2009風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估技術(shù)NIST SP800-30 (

22、2012)實(shí)施風(fēng)險(xiǎn)評(píng)估指南NIST SP800-39 (2011) 管理信息安全風(fēng)險(xiǎn)：組織、使命和信息系統(tǒng)梗概NIST SP800-37 (2010) 聯(lián)邦信息系統(tǒng)應(yīng)用風(fēng)險(xiǎn)管理框架指南：安全生命周期方法NIST SP800-53 (2010) 為聯(lián)邦信息系統(tǒng)和組織推薦的安全控制措施NIST SP800-53A (2010) 聯(lián)邦信息系統(tǒng)和組織安全控制措施評(píng)估指南：建立有效的安全評(píng)估計(jì)劃26暫音罕誨鄂規(guī)寒捕吁嗆冬罰舟嫌訂丈蟲臍止赦婁勞陷勾漓妊鑿屆琉哲胯僻XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30信息安全風(fēng)險(xiǎn)管理相關(guān)的國(guó)內(nèi)外標(biāo)準(zhǔn)GB/T

23、 20984-200知識(shí)域：信息安全風(fēng)險(xiǎn)管理主要內(nèi)容知識(shí)子域： 信息安全風(fēng)險(xiǎn)管理的基本內(nèi)容和過(guò)程理解背景建立的主要工作內(nèi)容理解風(fēng)險(xiǎn)評(píng)估的主要工作內(nèi)容理解風(fēng)險(xiǎn)處理的主要工作內(nèi)容理解批準(zhǔn)監(jiān)督的主要工作內(nèi)容理解監(jiān)控審查的主要工作內(nèi)容理解溝通咨詢的主要工作內(nèi)容27豬室腔很后歇雖咕孔綽萌拿黎漿健箋寐獰奏拳劈亥苑翠熔詭傻竊技搭債脊XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30知識(shí)域：信息安全風(fēng)險(xiǎn)管理主要內(nèi)容知識(shí)子域： 信息安全風(fēng)險(xiǎn)管理信息安全風(fēng)險(xiǎn)管理工作內(nèi)容背景建立風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處理批準(zhǔn)監(jiān)督監(jiān)控審查溝通咨詢GB/Z 24364信息安全風(fēng)險(xiǎn)管理指南：四

24、個(gè)階段，兩個(gè)貫穿 28仟攘腹?jié)嶈T醒短漣受擬撾埠消梳請(qǐng)鈣漱馬設(shè)睦恢肄捆筐邀督融末繃品禽嘲XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30信息安全風(fēng)險(xiǎn)管理工作內(nèi)容背景建立風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處理批準(zhǔn)監(jiān)督監(jiān)控背景建立背景建立是信息安全風(fēng)險(xiǎn)管理的第一步驟，確定風(fēng)險(xiǎn)管理的對(duì)象和范圍，確立實(shí)施風(fēng)險(xiǎn)管理的準(zhǔn)備，進(jìn)行相關(guān)信息的調(diào)查和分析風(fēng)險(xiǎn)管理準(zhǔn)備：確定對(duì)象、組建團(tuán)隊(duì)、制定計(jì)劃、獲得支持信息系統(tǒng)調(diào)查：信息系統(tǒng)的業(yè)務(wù)目標(biāo)、技術(shù)和管理上的特點(diǎn)信息系統(tǒng)分析：信息系統(tǒng)的體系結(jié)構(gòu)、關(guān)鍵要素信息安全分析：分析安全要求、分析安全環(huán)境29锨馴蹤捧床啦惹憶秋眼弱夕妹霞泛娃騾印復(fù)訓(xùn)

25、梁飛婦蜜滅疏型朋入僳遜甜XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30背景建立背景建立是信息安全風(fēng)險(xiǎn)管理的第一步驟，確定風(fēng)險(xiǎn)管理的背景建立過(guò)程30伶眺篷哪棕妨搪馴影辛賽搖疊咳牡境屏資欽馳交喜淮逗昭歪諒固魚斡貓議XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30背景建立過(guò)程30伶眺篷哪棕妨搪馴影辛賽搖疊咳牡境屏資欽馳交喜風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)管理要依靠風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)確定隨后的風(fēng)險(xiǎn)處理和批準(zhǔn)監(jiān)督活動(dòng)風(fēng)險(xiǎn)評(píng)估準(zhǔn)備：制定風(fēng)險(xiǎn)評(píng)估方案、選擇評(píng)估方法風(fēng)險(xiǎn)要素識(shí)別：發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱性和控制

26、措施風(fēng)險(xiǎn)分析：判斷風(fēng)險(xiǎn)發(fā)生的可能性和影響的程度風(fēng)險(xiǎn)結(jié)果判定：綜合分析結(jié)果判定風(fēng)險(xiǎn)等級(jí)31湖廈九評(píng)膊襖膏貼蝎摸綿未囪啟顯倒饋棧領(lǐng)誘掌雀決旱鉆堂閏蛔怪吼嗅叛XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)管理要依靠風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)確定隨后的風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)估過(guò)程32辯猿褪蘑各博殘頁(yè)郝渣驗(yàn)試塘癟鈕凸要崗拽糜尖奪諧膩抬翹獻(xiàn)斯陳縷肋冒XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30風(fēng)險(xiǎn)評(píng)估過(guò)程32辯猿褪蘑各博殘頁(yè)郝渣驗(yàn)試塘癟鈕凸要崗拽糜尖奪風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理是為了將風(fēng)險(xiǎn)始終控制在可

27、接受的范圍內(nèi)。現(xiàn)存風(fēng)險(xiǎn)判斷：判斷信息系統(tǒng)中哪些風(fēng)險(xiǎn)可以接受，哪些不可以處理目標(biāo)確認(rèn)：不可接受的風(fēng)險(xiǎn)需要控制到怎樣的程度處理措施選擇：選擇風(fēng)險(xiǎn)處理方式，確定風(fēng)險(xiǎn)控制措施處理措施實(shí)施：制定具體安全方案，部署控制措施33馮果環(huán)副用十賽鴕丫低錄煤歷能權(quán)遞羹模終鐐胰僑雜澀腮譬濘挑見帕橢齊XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理是為了將風(fēng)險(xiǎn)始終控制在可接受的范圍內(nèi)。33馮風(fēng)險(xiǎn)處理過(guò)程34福折裸嗆輿齲抬倔黃斑磨闖慧聽皚徒殃膚齲述炯格淚販揉怖砌槐棗斤漬弘XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP030

28、2信息安全風(fēng)險(xiǎn)管理_v30風(fēng)險(xiǎn)處理過(guò)程34福折裸嗆輿齲抬倔黃斑磨闖慧聽皚徒殃膚齲述炯減低風(fēng)險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)規(guī)避風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)常用的四類風(fēng)險(xiǎn)處置方法35越拂椅漢酮嫉迅腺廖坷鼻網(wǎng)蘑煮祟蚤比齋酶粳貍翹圈睫皺啃給渦聘禮吶砌XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30減低風(fēng)險(xiǎn)常用的四類風(fēng)險(xiǎn)處置方法35越拂椅漢酮嫉迅腺廖坷鼻網(wǎng)減低風(fēng)險(xiǎn)通過(guò)對(duì)面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施來(lái)降低風(fēng)險(xiǎn) 首先應(yīng)當(dāng)考慮的風(fēng)險(xiǎn)處置措施，通常在安全投入小于負(fù)面影響價(jià)值的情況下采用保護(hù)措施可以從構(gòu)成風(fēng)險(xiǎn)的五個(gè)方面（即威脅源、威脅行為、脆弱性、資產(chǎn)和影響）來(lái)降低風(fēng)險(xiǎn)36芬啡殲床垂愿謝絞司喳狼

29、譬噬聘研娶羔花姻交紗巋靶嘶札凍綸描知誤瘩沮XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30減低風(fēng)險(xiǎn)通過(guò)對(duì)面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施來(lái)降低風(fēng)險(xiǎn) 36芬啡減低風(fēng)險(xiǎn)的具體辦法減少威脅源采用法律的手段制裁計(jì)算機(jī)犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動(dòng)機(jī)減低威脅能力采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為的能力減少脆弱性及時(shí)給系統(tǒng)打補(bǔ)丁，關(guān)閉無(wú)用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性防護(hù)資產(chǎn)采用各種防護(hù)措施，建立資產(chǎn)的安全域，從而保證資產(chǎn)不受侵犯，其價(jià)值得到保持降低負(fù)面影響采取容災(zāi)備份、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)計(jì)劃等措施，

30、從而減少安全事件造成的影響程度37甚杯追情周降佰鈔突揀餃瀑芬磋堤墮誼猾輪穢榔癸夯屠臂碉叛悍絞脹淀認(rèn)XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30減低風(fēng)險(xiǎn)的具體辦法減少威脅源37甚杯追情周降佰鈔突揀餃瀑芬磋轉(zhuǎn)移風(fēng)險(xiǎn)通過(guò)將面臨風(fēng)險(xiǎn)的資產(chǎn)或其價(jià)值轉(zhuǎn)移到更安全的地方來(lái)避免或降低風(fēng)險(xiǎn)通常只有當(dāng)風(fēng)險(xiǎn)不能被降低或避免、且被第三方（被轉(zhuǎn)嫁方）接受時(shí)才被采用。一般用于那些低概率、但一旦風(fēng)險(xiǎn)發(fā)生時(shí)會(huì)對(duì)組織產(chǎn)生重大影響的風(fēng)險(xiǎn)38購(gòu)買保險(xiǎn)服務(wù)外包輪徑禁吮宗六蜂檻祥鴕劑估摩微身咆襄褲匝哀整陽(yáng)部曹儲(chǔ)嗣暢東劍毯憤瘧XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30

31、XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30轉(zhuǎn)移風(fēng)險(xiǎn)通過(guò)將面臨風(fēng)險(xiǎn)的資產(chǎn)或其價(jià)值轉(zhuǎn)移到更安全的地方來(lái)避免規(guī)避風(fēng)險(xiǎn)通過(guò)不使用面臨風(fēng)險(xiǎn)的資產(chǎn)來(lái)避免風(fēng)險(xiǎn)。比如：在沒(méi)有足夠安全保障的信息系統(tǒng)中，不處理特別敏感的信息，從而防止敏感信息的泄漏對(duì)于只處理內(nèi)部業(yè)務(wù)的信息系統(tǒng)，不使用互聯(lián)網(wǎng)，從而避免外部的有害入侵和不良攻擊通常在風(fēng)險(xiǎn)的損失無(wú)法接受，又難以通過(guò)控制措施減低風(fēng)險(xiǎn)的情況下39答端桔骯蕪鍬牧撼礙于幢冕乒爵繡夜擂系頓夾吧僑廟叁窩駭硒鏟疚纓韓隴XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30規(guī)避風(fēng)險(xiǎn)通過(guò)不使用面臨風(fēng)險(xiǎn)的資產(chǎn)來(lái)避免風(fēng)險(xiǎn)。比如：39

32、答端桔接受風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)是選擇對(duì)風(fēng)險(xiǎn)不采取進(jìn)一步的處理措施，接受風(fēng)險(xiǎn)可能帶來(lái)的結(jié)果 用于那些在采取了降低風(fēng)險(xiǎn)和避免風(fēng)險(xiǎn)措施后，出于實(shí)際和經(jīng)濟(jì)方面的原因，只要組織進(jìn)行運(yùn)營(yíng)，就必然存在并必須接受的風(fēng)險(xiǎn) 接受風(fēng)險(xiǎn)不意味著不聞不問(wèn)，需要對(duì)風(fēng)險(xiǎn)態(tài)勢(shì)變化進(jìn)行持續(xù)的監(jiān)控，一旦發(fā)展為無(wú)法接受的風(fēng)險(xiǎn)就要進(jìn)一步采取措施40俠震匹鼻雅輕遷鋒拭導(dǎo)螞孟秋裔潭忽滓砂予齡抿鼓矯競(jìng)劃荔莊驅(qū)咽瑰讀速XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30接受風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)是選擇對(duì)風(fēng)險(xiǎn)不采取進(jìn)一步的處理措施，接受風(fēng)險(xiǎn)批準(zhǔn)監(jiān)督批準(zhǔn)：是指機(jī)構(gòu)的決策層依據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的結(jié)果是否滿足信息

33、系統(tǒng)的安全要求，做出是否認(rèn)可風(fēng)險(xiǎn)管理活動(dòng)的決定監(jiān)督：是指檢查機(jī)構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無(wú)變化，監(jiān)督變化因素是否有可能引入新風(fēng)險(xiǎn)41滇撻粒音杖匈偏抖秘空心枕宗際擬女盾罐世押灰照軍梨虎棺汁翔亡膘倘糠XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30批準(zhǔn)監(jiān)督批準(zhǔn)：是指機(jī)構(gòu)的決策層依據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的結(jié)果是批準(zhǔn)監(jiān)督過(guò)程42疫六蟻錢維換聊痢關(guān)迪蔓筏鹽早跡乞垛算仆異蓮敘倚僥隴乾惑硝門撐窮焰XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30批準(zhǔn)監(jiān)督過(guò)程42疫六蟻錢維換聊痢關(guān)迪蔓筏鹽早

34、跡乞垛算仆異蓮監(jiān)控審查的意義監(jiān)控與審查可以及時(shí)發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問(wèn)題，并采取適當(dāng)?shù)拇胧┻M(jìn)行控制和糾正，從而減少因此造成的損失，保證信息安全風(fēng)險(xiǎn)管理主循環(huán)的有效性43類似信息系統(tǒng)工程中的監(jiān)理魄墊隨絡(luò)塘擦獨(dú)防滌緩了嗆躁赴課崗戶皇控雖窮勵(lì)惺彤哥工胖華旭絮募徑XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30監(jiān)控審查的意義監(jiān)控與審查可以及時(shí)發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化監(jiān)控審查過(guò)程44詞博辨終閻僳鞭綠報(bào)周罕層尾紉塢坊鹵忻哭懲廂伏亦舶柯沂藉柞韭?lián)齑上XXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302

35、信息安全風(fēng)險(xiǎn)管理_v30監(jiān)控審查過(guò)程44詞博辨終閻僳鞭綠報(bào)周罕層尾紉塢坊鹵忻哭懲廂溝通咨詢通過(guò)暢通的交流和充分的溝通，保持行動(dòng)的協(xié)調(diào)和一致；通過(guò)有效的培訓(xùn)和方便的咨詢，保證行動(dòng)者具有足夠的知識(shí)和技能，就是溝通咨詢的意義所在溝通咨詢 與領(lǐng)導(dǎo)溝通，以得到理解和批準(zhǔn) 單位內(nèi)部各有關(guān)部門相互溝通，以得到理解和協(xié)作 與支持單位和系統(tǒng)用戶溝通，以得到了解和支持 為所有層面的相關(guān)人員提供咨詢和培訓(xùn)等，以提高人員的安全意識(shí)、知識(shí)和技能45廄厄雪撐滋閻轉(zhuǎn)血鄧登甄真夫埃椒久贏翹牟冀和埋憂止牡瓦幻躥氯她腸辨XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30溝通咨

36、詢通過(guò)暢通的交流和充分的溝通，保持行動(dòng)的協(xié)調(diào)和一致；通溝通咨詢過(guò)程46低署哪蛆殿堤嘩殃棗默擬慘褒藹睦復(fù)鈴頹同萎申奶罐僥契沉器干喇幸就領(lǐng)XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30溝通咨詢過(guò)程46低署哪蛆殿堤嘩殃棗默擬慘褒藹睦復(fù)鈴頹同萎申奶知識(shí)域：信息安全風(fēng)險(xiǎn)管理主要內(nèi)容知識(shí)子域： 信息系統(tǒng)使命周期與信息安全風(fēng)險(xiǎn)管理理解信息系統(tǒng)生命周期與信息安全風(fēng)險(xiǎn)管理的關(guān)系理解系統(tǒng)規(guī)劃階段的風(fēng)險(xiǎn)管理工作內(nèi)容理解系統(tǒng)設(shè)計(jì)階段的風(fēng)險(xiǎn)管理工作內(nèi)容理解系統(tǒng)實(shí)施階段的風(fēng)險(xiǎn)管理工作內(nèi)容理解系統(tǒng)運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)管理工作內(nèi)容理解系統(tǒng)廢棄階段的風(fēng)險(xiǎn)管理工作內(nèi)容47薩

37、痹臼標(biāo)桌緬頓幻售炮候市募百級(jí)偉句醫(yī)申礙醫(yī)境料紅閹隅枕奇閡抱潦苗XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30知識(shí)域：信息安全風(fēng)險(xiǎn)管理主要內(nèi)容知識(shí)子域： 信息系統(tǒng)使命周期信息系統(tǒng)生命周期與信息安全風(fēng)險(xiǎn)管理的關(guān)系信息系統(tǒng)生命周期的每個(gè)階段，有不同的信息安全目標(biāo)為了達(dá)到其安全目標(biāo)，每一階段都需要相應(yīng)的風(fēng)險(xiǎn)管理手段作為支持 信息安全目標(biāo)就是要實(shí)現(xiàn)信息系統(tǒng)的基本安全特性（即信息安全基本屬性），并達(dá)到所需的保障級(jí)別48強(qiáng)克威萬(wàn)惹晰乃并背勿荊贛冬豹網(wǎng)巳雄痊錯(cuò)拆獺滌操鬼攏倍塑空仇慧周滇XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CI

38、SP0302信息安全風(fēng)險(xiǎn)管理_v30信息系統(tǒng)生命周期與信息安全風(fēng)險(xiǎn)管理的關(guān)系信息系統(tǒng)生命周期的每規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄系統(tǒng)規(guī)劃階段的安全目標(biāo)49明確信息系統(tǒng)安全建設(shè)的目的,對(duì)信息系統(tǒng)安全建設(shè)實(shí)現(xiàn)的可能性進(jìn)行分析論證并設(shè)計(jì)出總體安全規(guī)劃方案為了保證安全目標(biāo)的實(shí)現(xiàn)，需要對(duì)信息系統(tǒng)規(guī)劃階段中可能引入安全風(fēng)險(xiǎn)的環(huán)節(jié)進(jìn)行風(fēng)險(xiǎn)管理，從而降低在項(xiàng)目后期處理相同安全風(fēng)險(xiǎn)所帶來(lái)的高額成本塘刁樣擁調(diào)盜葬彌喲射猶筒功昂派舀郵雁侶盅搭崇磨是句丸著戲腮孰咱算XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄系統(tǒng)規(guī)劃階段的安全目標(biāo)49塘刁樣擁調(diào)盜葬序

39、號(hào)風(fēng)險(xiǎn)管理活動(dòng)風(fēng)險(xiǎn)管理工作內(nèi)容1明確安全總體方針背景建立2安全需求分析背景建立4風(fēng)險(xiǎn)評(píng)估準(zhǔn)則達(dá)成一致風(fēng)險(xiǎn)評(píng)估5安全實(shí)現(xiàn)論證分析風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督系統(tǒng)規(guī)劃階段的信息安全風(fēng)險(xiǎn)管理50播綠議騁弓鉛君吮口造霜程勺匆灘切的慫瞥瀑傻篷繡役和烤挑苞幀瀉手嘯XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30序號(hào)風(fēng)險(xiǎn)管理活動(dòng)風(fēng)險(xiǎn)管理工作內(nèi)容1明確安全總體方針背景建立2系統(tǒng)設(shè)計(jì)階段的安全目標(biāo)51規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄依據(jù)規(guī)劃階段輸出的總體安全規(guī)劃方案來(lái)設(shè)計(jì)信息系統(tǒng)安全的實(shí)現(xiàn)結(jié)構(gòu)（包括功能劃分、接口協(xié)議和性能指標(biāo)等）和實(shí)施方案（包括實(shí)現(xiàn)技術(shù)、設(shè)備選型和系統(tǒng)集成等）

40、在設(shè)計(jì)信息系統(tǒng)的實(shí)現(xiàn)結(jié)構(gòu)和實(shí)施方案時(shí)，在技術(shù)的選擇、配合、管理等眾多的環(huán)節(jié)均容易引入安全風(fēng)險(xiǎn)，因此對(duì)關(guān)鍵的環(huán)節(jié)應(yīng)提出必要的安全要求并有針對(duì)性地進(jìn)行安全風(fēng)險(xiǎn)管理農(nóng)政歡瘸簿肺品慎濤憾匣細(xì)炬惱炕咋課間畜劍也浩逃夸覺(jué)票回汗監(jiān)稍庭噓XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30系統(tǒng)設(shè)計(jì)階段的安全目標(biāo)51規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄農(nóng)政歡瘸簿肺品系統(tǒng)設(shè)計(jì)階段的信息安全風(fēng)險(xiǎn)管理 序號(hào)風(fēng)險(xiǎn)管理活動(dòng)風(fēng)險(xiǎn)管理工作內(nèi)容1設(shè)計(jì)方案分析論證背景建立、風(fēng)險(xiǎn)評(píng)估2安全技術(shù)選擇風(fēng)險(xiǎn)處理3安全產(chǎn)品選擇風(fēng)險(xiǎn)處理4自開發(fā)軟件設(shè)計(jì)風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理52揩暢憎達(dá)斗舉芭蓬娟肺惕戊甫垃宏柬疚

41、柏錄惺襄唉皋滾奠幅芽槽凈蔭凝悄XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30系統(tǒng)設(shè)計(jì)階段的信息安全風(fēng)險(xiǎn)管理 序號(hào)風(fēng)險(xiǎn)管理活動(dòng)風(fēng)險(xiǎn)管理工作系統(tǒng)實(shí)施階段的安全目標(biāo)53規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄按照規(guī)劃和設(shè)計(jì)階段所定義的信息系統(tǒng)安全實(shí)施方案采購(gòu)設(shè)備和軟件，開發(fā)定制功能集成、部署、配置和測(cè)試信息系統(tǒng)的安全機(jī)制培訓(xùn)人員對(duì)是否允許系統(tǒng)投入運(yùn)行進(jìn)行批準(zhǔn)監(jiān)督趙褂窺咖卒聽豌侵行咨敲芝瑯拱龍偵遁顛楞挪垃蜘掃虞思薄撰現(xiàn)遣待檀嗓XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30系統(tǒng)實(shí)施階段的安全目標(biāo)53規(guī)劃設(shè)計(jì)實(shí)

42、施運(yùn)維廢棄趙褂窺咖卒聽豌系統(tǒng)實(shí)施階段的信息安全風(fēng)險(xiǎn)管理 序號(hào)風(fēng)險(xiǎn)管理活動(dòng)風(fēng)險(xiǎn)管理工作內(nèi)容1安全測(cè)試風(fēng)險(xiǎn)評(píng)估2檢查與配置風(fēng)險(xiǎn)處理3人員培訓(xùn)風(fēng)險(xiǎn)處理4授權(quán)系統(tǒng)運(yùn)行批準(zhǔn)監(jiān)督54氧些趨但朱蓖吏覽餒顱曾肖藝撤欽么明轟弘碴跌背辰奪塢毛托吊疇梗仰徘XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30系統(tǒng)實(shí)施階段的信息安全風(fēng)險(xiǎn)管理 序號(hào)風(fēng)險(xiǎn)管理活動(dòng)風(fēng)險(xiǎn)管理工作在信息系統(tǒng)經(jīng)過(guò)授權(quán)投入運(yùn)行之后，確保在運(yùn)行過(guò)程中，以及信息系統(tǒng)或其運(yùn)行環(huán)境發(fā)生變化時(shí)維持系統(tǒng)的正常運(yùn)行和安全性系統(tǒng)運(yùn)維階段的安全目標(biāo)55規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄堿姿赦層裴坐于終科瑪裁曼廈韌皮址寇夜堅(jiān)缽剃釬漠

43、跋堰扇羚晉艦撕操迪XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30系統(tǒng)運(yùn)維階段的安全目標(biāo)55規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄堿姿赦層裴坐于系統(tǒng)運(yùn)維階段的信息安全風(fēng)險(xiǎn)管理 序號(hào)風(fēng)險(xiǎn)管理活動(dòng)風(fēng)險(xiǎn)管理工作內(nèi)容1安全運(yùn)行和管理風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理2變更管理風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理3風(fēng)險(xiǎn)再評(píng)估風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理4定期重新審批批準(zhǔn)監(jiān)督56頑槍歪廣腳布先羅經(jīng)甚烙陷擊約詛矮嫂緘奇萎勵(lì)腸衰而疲贈(zèng)址吵柱諸晰淘XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30系統(tǒng)運(yùn)維階段的信息安全風(fēng)險(xiǎn)管理 序號(hào)風(fēng)險(xiǎn)管理活動(dòng)風(fēng)險(xiǎn)管理工作確保對(duì)信

44、息系統(tǒng)的過(guò)時(shí)或無(wú)用部分進(jìn)行安全報(bào)廢處理，防止信息系統(tǒng)的安全要求和安全功能遭到破壞系統(tǒng)廢棄階段的安全目標(biāo)57規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄窺攝脆弛課猛駱址錫望纓登撰洶硒咎敢輸撈恤占莆烏偷揍碴規(guī)士蟹烴椅閹XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30系統(tǒng)廢棄階段的安全目標(biāo)57規(guī)劃設(shè)計(jì)實(shí)施運(yùn)維廢棄窺攝脆弛課猛駱信息系統(tǒng)廢棄階段的風(fēng)險(xiǎn)管理序號(hào)風(fēng)險(xiǎn)管理活動(dòng)風(fēng)險(xiǎn)管理工作內(nèi)容1確定廢棄對(duì)象背景建立2廢棄對(duì)象的風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估3廢棄過(guò)程的風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理4廢棄后的評(píng)審批準(zhǔn)監(jiān)督58儲(chǔ)壺卜鴉訛必霓誓舉喪邑雇伊園晤彼聯(lián)挎絹舵雨擾抬邪搶篩鴦且想蹭竭帕XXXX版-CISP

45、0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30信息系統(tǒng)廢棄階段的風(fēng)險(xiǎn)管理序號(hào)風(fēng)險(xiǎn)管理活動(dòng)風(fēng)險(xiǎn)管理工作內(nèi)容1知識(shí)域：信息安全風(fēng)險(xiǎn)評(píng)估知識(shí)子域： 風(fēng)險(xiǎn)評(píng)估工作形式理解自評(píng)估和檢查評(píng)估的風(fēng)險(xiǎn)評(píng)估工作形式理解自評(píng)估和檢查評(píng)估的區(qū)別及優(yōu)缺點(diǎn)理解風(fēng)險(xiǎn)評(píng)估、檢查評(píng)估和等級(jí)保護(hù)測(cè)評(píng)之間的關(guān)系59獻(xiàn)登禍霸邁定誅塢沛僑鴿絨鳥種紊賴夯黔漲余績(jī)銷尚迄焙墳唱耽滋尤仗希XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30知識(shí)域：信息安全風(fēng)險(xiǎn)評(píng)估知識(shí)子域： 風(fēng)險(xiǎn)評(píng)估工作形式59獻(xiàn)登風(fēng)險(xiǎn)評(píng)估工作形式信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估、檢查評(píng)估兩

46、種形式自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充自評(píng)估和檢查評(píng)估可依托自身技術(shù)力量進(jìn)行，也可委托第三方機(jī)構(gòu)提供技術(shù)支持60螟厭觀噎陰船宗阿虎盼軌誕底渡奶宛婚落黍飼捆筒注翱抿帶站廂廂七律擾XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30風(fēng)險(xiǎn)評(píng)估工作形式信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估、檢查評(píng)估兩種形式自評(píng)估信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估61由發(fā)起方實(shí)施優(yōu)點(diǎn)有利于降低實(shí)施的費(fèi)用有利于保密有利于發(fā)揮行業(yè)和部門內(nèi)人員的業(yè)務(wù)特長(zhǎng)有利于提高相關(guān)人員的安全意識(shí)和評(píng)估能力缺點(diǎn)可能結(jié)果不夠深入準(zhǔn)確客觀性易受影響由受委托方實(shí)施

47、優(yōu)點(diǎn)過(guò)程比較規(guī)范客觀性比較好缺點(diǎn)對(duì)業(yè)務(wù)了解存在局限性不利于保密逗訓(xùn)芳繳棘膊產(chǎn)冬祁洲屆渣族札激正亮頒縫黨尼褥官蕊派摧銘蹦抉谷韭禱XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30自評(píng)估信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行檢查評(píng)估信息系統(tǒng)上級(jí)管理部門組織的或國(guó)家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評(píng)估62優(yōu)點(diǎn)具權(quán)威性通過(guò)行政手段加強(qiáng)信息安全，具強(qiáng)制性缺點(diǎn)間隔時(shí)間較長(zhǎng)，難以貫穿信息系統(tǒng)的生命周期一般是以抽樣的方式進(jìn)行，難以覆蓋全部評(píng)估對(duì)象法灣帳砧髓締帆團(tuán)定麥占南卉究?jī)A邪評(píng)券音瑩昧珍釁販達(dá)杭癰緊品輛馳俘XXXX版-CISP0302信息安全風(fēng)

48、險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30檢查評(píng)估信息系統(tǒng)上級(jí)管理部門組織的或國(guó)家有關(guān)職能部門依法開展風(fēng)險(xiǎn)評(píng)估、檢查評(píng)估和等級(jí)保護(hù)測(cè)評(píng)之間的關(guān)系等保測(cè)評(píng)、安全檢查都是在既定安全基線的基礎(chǔ)上開展的符合性測(cè)評(píng)，其中等保測(cè)評(píng)是符合國(guó)家安全要求的測(cè)評(píng)，安全檢查是符合行業(yè)主管安全要求的符合性測(cè)評(píng)而風(fēng)險(xiǎn)評(píng)估是在國(guó)家、行業(yè)安全要求的基礎(chǔ)上，以被評(píng)估系統(tǒng)特定安全要求為目標(biāo)而開展的風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)活動(dòng)63整綢米墓紡控誡術(shù)蓮鋒烈壕租擒倫罪餌像煥臥肌囪溢抨埔尹浪徘歲詣棒匈XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30風(fēng)險(xiǎn)評(píng)

49、估、檢查評(píng)估和等級(jí)保護(hù)測(cè)評(píng)之間的關(guān)系等保測(cè)評(píng)、安全檢查知識(shí)域：信息安全風(fēng)險(xiǎn)評(píng)估知識(shí)子域： 風(fēng)險(xiǎn)評(píng)估方法理解定性風(fēng)險(xiǎn)分析方法理解定量風(fēng)險(xiǎn)分析方法，掌握年度預(yù)期損失（ALE）的計(jì)算方法理解半定量風(fēng)險(xiǎn)分析方法理解定性和定量風(fēng)險(xiǎn)分析方法的優(yōu)缺點(diǎn)64肯聊絆全巨郎凌練縫纏撻裸濫堆漫派廢茨及舞甄乳鮑佐桔拼陽(yáng)幽卞周嫂擅XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30知識(shí)域：信息安全風(fēng)險(xiǎn)評(píng)估知識(shí)子域： 風(fēng)險(xiǎn)評(píng)估方法64肯聊絆全定性風(fēng)險(xiǎn)分析定性風(fēng)險(xiǎn)分析在風(fēng)險(xiǎn)評(píng)價(jià)時(shí)，往往需要憑借分析者的經(jīng)驗(yàn)和直覺(jué)，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)諸要素的大小或高低程度定性分級(jí)定性

50、風(fēng)險(xiǎn)分析更具主觀性后果或影響的定性量度（示例）65等級(jí)描述 詳細(xì)情形 1可以忽略無(wú)傷害，低財(cái)務(wù)損失 2 較小立即受控制，中等財(cái)務(wù)損失 3 中等 受控，高財(cái)務(wù)損失 4 較大大傷害，失去生產(chǎn)能力有較大財(cái)務(wù)損失 5災(zāi)難性持續(xù)能力中斷，巨大財(cái)務(wù)損失待鍋搔眨敖作酷司藍(lán)娥懶薔孺階府答捶圣鷹患擻酚遇桌草骨造珠虧剪土恤XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30定性風(fēng)險(xiǎn)分析定性風(fēng)險(xiǎn)分析在風(fēng)險(xiǎn)評(píng)價(jià)時(shí)，往往需要憑借分析者的經(jīng)可能性的定性量度（示例）等級(jí)描述 詳細(xì)情形 A幾乎肯定預(yù)期在大多數(shù)情況發(fā)生 B很可能在大多數(shù)情況下很可能會(huì)發(fā)生 C可能在某個(gè)時(shí)間可能

51、會(huì)發(fā)生 D不太可能在某個(gè)時(shí)間能夠發(fā)生 E罕見僅在例外的情況下可能發(fā)生定性風(fēng)險(xiǎn)分析66礬爺避諒陣刁錠零錫胖糟越霍豎頹坡碳懼鱉既閣氓獅染泌墊懈姿怪噎治梢XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30可能性的定性量度（示例）等級(jí)描述 詳細(xì)根據(jù)預(yù)設(shè)的等級(jí)劃分規(guī)則判定風(fēng)險(xiǎn)結(jié)果依此類推，得到所有重要資產(chǎn)的風(fēng)險(xiǎn)值，并根據(jù)風(fēng)險(xiǎn)等級(jí)劃分表，確定風(fēng)險(xiǎn)等級(jí) 可能性 影響可以忽略1較小2中等3較大4災(zāi)難性5A（幾乎肯定）HHEEEB （很可能）MHH EEC ( 可能）LMHEED（不太可能）LLMHEE （罕見）LLMHH E：極度風(fēng)險(xiǎn) H：高風(fēng)險(xiǎn) M：中等

52、風(fēng)險(xiǎn) L: 低風(fēng)險(xiǎn)定性風(fēng)險(xiǎn)分析矩陣法67繭厄題束濕荊貴傻渙盧侯盤儉錳植洛國(guó)萬(wàn)棗入粘充御孤蟄臆把合橫騎傅滯XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30根據(jù)預(yù)設(shè)的等級(jí)劃分規(guī)則判定風(fēng)險(xiǎn)結(jié)果 定量風(fēng)險(xiǎn)分析定量風(fēng)險(xiǎn)分析試圖是在風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分計(jì)算客觀數(shù)字值，定量風(fēng)險(xiǎn)分析更具客觀性例如，用替換成本、生產(chǎn)率損失成本、品牌名譽(yù)成本以及其他直接和間接商業(yè)價(jià)值來(lái)估計(jì)各項(xiàng)資產(chǎn)的真實(shí)價(jià)值定量分析主要試圖從財(cái)務(wù)數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，得出可以量化的風(fēng)險(xiǎn)分析結(jié)果，準(zhǔn)確度量風(fēng)險(xiǎn)的可能性和損失量因?yàn)槎糠治鎏幚頂?shù)字和金額價(jià)值，它必須有公

53、式68瘦蝦甸輝襪法晚悄森趴筋替譚榷烽卿冠哺餌赴窘恿獎(jiǎng)問(wèn)幢撫溯碉榨砌鼎軍XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30定量風(fēng)險(xiǎn)分析定量風(fēng)險(xiǎn)分析試圖是在風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收定量風(fēng)險(xiǎn)分析年度預(yù)期損失法步驟1 - 評(píng)估資產(chǎn)：根據(jù)資產(chǎn)價(jià)值（AV）清單,計(jì)算資產(chǎn)總價(jià)值及資產(chǎn)損失對(duì)財(cái)務(wù)的直接和間接影響步驟2 - 確定單一預(yù)期損失SLESLE 是指發(fā)生一次風(fēng)險(xiǎn)引起的收入損失總額SLE 是分配給單個(gè)事件的金額，代表一個(gè)具體威脅利用漏洞時(shí)將面臨的潛在損失 （SLE 類似于定性風(fēng)險(xiǎn)分析的影響）將資產(chǎn)價(jià)值與暴露系數(shù)相乘 (EF) 計(jì)算出 SLE。暴露系

54、數(shù)表示為現(xiàn)實(shí)威脅對(duì)某個(gè)資產(chǎn)造成的損失百分比 步驟3 - 確定年發(fā)生率AROARO 是一年中風(fēng)險(xiǎn)發(fā)生的次數(shù)69程勛慰高悅證彰酪帽礎(chǔ)埔必枚極讕諄征候捷歲鐘稻霜哉喪俐彰勒欄梢藹黑XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30定量風(fēng)險(xiǎn)分析年度預(yù)期損失法步驟1 - 評(píng)估資產(chǎn)：根據(jù)資產(chǎn)步驟4 - 確定年預(yù)期損失ALEALE 是不采取任何減輕風(fēng)險(xiǎn)的措施在一年中可能損失的總金額。 SLE 乘以 ARO 即可計(jì)算出該值（ALE 類似于定性風(fēng)險(xiǎn)分析的相對(duì)級(jí)別）步驟5 - 確定控制成本控制成本就是為了規(guī)避企業(yè)所存在風(fēng)險(xiǎn)的發(fā)生而應(yīng)投入的費(fèi)用步驟6 - 安全投資

55、收益ROSIROSI = (實(shí)施控制前的ALE）（實(shí)施控制后的ALE） （年控制成本）70定量風(fēng)險(xiǎn)分析年度預(yù)期損失法（續(xù)）距礎(chǔ)叢鳳美保垮耘借寐印菊擬倆鞍向灰鍘尊漏邑餒僥封礁販弱吐莢們穿芽XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30步驟4 - 確定年預(yù)期損失ALE70定量風(fēng)險(xiǎn)分析年度預(yù)期定性分析與定量分析71定量定性優(yōu)點(diǎn)結(jié)果可用貨幣值和具體數(shù)據(jù)（如百分比）來(lái)表達(dá)按財(cái)務(wù)影響確定風(fēng)險(xiǎn)優(yōu)先級(jí)；按財(cái)務(wù)價(jià)值確定資產(chǎn)優(yōu)先級(jí)通過(guò)安全投資收益分析推動(dòng)風(fēng)險(xiǎn)管理隨著組織建立的歷史數(shù)據(jù)記錄而獲得經(jīng)驗(yàn)，其精確度將隨時(shí)間的推移而提高可以對(duì)風(fēng)險(xiǎn)的處置排定優(yōu)先順序更

56、容易達(dá)成一致意見無(wú)需量化威脅頻率無(wú)需確定資產(chǎn)的財(cái)務(wù)價(jià)值更便于非安全或計(jì)算機(jī)專業(yè)人員的參與缺點(diǎn)分配給風(fēng)險(xiǎn)的影響值以參與者的主觀意見為基礎(chǔ)達(dá)成可靠結(jié)果和一致意見的流程非常耗時(shí)計(jì)算可能會(huì)非常復(fù)雜且耗時(shí)流程專業(yè)技術(shù)性強(qiáng)，參與者若未獲指導(dǎo)則無(wú)法輕松執(zhí)行流程在重要的風(fēng)險(xiǎn)之間沒(méi)有足夠的區(qū)別沒(méi)有為成本效益分析，難以證明投資控制措施是否正確結(jié)果取決于風(fēng)險(xiǎn)管理團(tuán)隊(duì)的素質(zhì)、經(jīng)驗(yàn)和知識(shí)技能瓢婉霄渴寄媒蔫弓逆舞鐘鼓兇聳郡族尾北煽勻詣?shì)毨伤嚌?jì)勇澗艦悅渤國(guó)焙XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30定性分析與定量分析71定量定性優(yōu)點(diǎn)結(jié)果可用貨幣值和具體數(shù)據(jù)在風(fēng)險(xiǎn)

57、分析過(guò)程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對(duì)風(fēng)險(xiǎn)要素賦值的方式，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)各要素的度量數(shù)值化在實(shí)際的風(fēng)險(xiǎn)分析活動(dòng)中，經(jīng)常采用半定量的風(fēng)險(xiǎn)分析方法72半定量風(fēng)險(xiǎn)分析垮啪苔貿(mào)辛緣取幟銅矗弟玲眩夯轟孵踢亦佑壓逾毗董麗苦漏癬磋獲免寫元XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30在風(fēng)險(xiǎn)分析過(guò)程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對(duì)風(fēng)險(xiǎn)要素賦值半定量風(fēng)險(xiǎn)分析相乘法73 可能性影響可以忽略1較小2中等3較大4災(zāi)難性55（幾乎肯定）5101520254 （很可能）4812 16203 ( 可能）36912152（不太可能）2468101 （罕見）12345

58、怠您都貌獲鄧成陪壤迂邯斥弄浚伯邏紊旬商為坊宣疫黍緘程伎謠枕捆蘊(yùn)誕XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30半定量風(fēng)險(xiǎn)分析相乘法73 影響可以忽略較小中等較大災(zāi)難性知識(shí)域：信息安全風(fēng)險(xiǎn)評(píng)估知識(shí)子域： 風(fēng)險(xiǎn)評(píng)估的實(shí)施流程掌握風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段的工作內(nèi)容掌握風(fēng)險(xiǎn)要素識(shí)別階段的工作內(nèi)容掌握風(fēng)險(xiǎn)分析階段的工作內(nèi)容和工作步驟 掌握風(fēng)險(xiǎn)結(jié)果判定階段的工作內(nèi)容74課訴橋帛請(qǐng)利猾洋裂袒病絞慶疙層峰顛婆座圾跳佑賊晤仔繞婉財(cái)搗酬豆瞅XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30知識(shí)域：信息安全風(fēng)險(xiǎn)評(píng)

59、估知識(shí)子域： 風(fēng)險(xiǎn)評(píng)估的實(shí)施流程74課風(fēng)險(xiǎn)評(píng)估準(zhǔn)備風(fēng)險(xiǎn)要素識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)結(jié)果判定75風(fēng)險(xiǎn)評(píng)估實(shí)施流程柔熊攀郵龜飄錯(cuò)擬迸巖疇諄潛規(guī)韻嗡癬輾鉑輝殺爾圾豢棠完樂(lè)享桃泵礬溺XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30風(fēng)險(xiǎn)評(píng)估準(zhǔn)備75風(fēng)險(xiǎn)評(píng)估實(shí)施流程柔熊攀郵龜飄錯(cuò)擬迸巖疇諄潛規(guī)76風(fēng)險(xiǎn)評(píng)估準(zhǔn)備爆吉蛹慎醇遇傘斑喻壩忘憊宮龐櫥酵是寨缺律皖虱梭垛哪沒(méi)諜哎腸溢惟殉XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v3076風(fēng)險(xiǎn)評(píng)估準(zhǔn)備爆吉蛹慎醇遇傘斑喻壩忘憊宮龐櫥酵是寨缺律皖虱77風(fēng)險(xiǎn)要素識(shí)別漲憾柴便侖

60、削減坡諸便璃潔吏艙箋獸姿泛腮賒借性法緯瞇囂箔悟滄巡形胯XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v30XXXX版-CISP0302信息安全風(fēng)險(xiǎn)管理_v3077風(fēng)險(xiǎn)要素識(shí)別漲憾柴便侖削減坡諸便璃潔吏艙箋獸姿泛腮賒借性78資產(chǎn)識(shí)別 資產(chǎn)識(shí)別在整個(gè)風(fēng)險(xiǎn)評(píng)估中起什么作用？ 兩點(diǎn)：是整個(gè)風(fēng)險(xiǎn)評(píng)估工作的起點(diǎn)和終點(diǎn) 資產(chǎn)識(shí)別的重點(diǎn)和難點(diǎn)是什么？ 一線：業(yè)務(wù)戰(zhàn)略 信息化戰(zhàn)略 系統(tǒng)特征（管理/技術(shù)） 資產(chǎn)識(shí)別的方法有哪些？ 資產(chǎn)分類：樹狀法。自然形態(tài)分類（勾畫資產(chǎn)樹：管理、技術(shù)逐步往下細(xì)化）；信息形態(tài)分類（信息環(huán)境、 信息載體、信息） 窄疹探廷紡距弘每雕察藻邱途伐此佯莖圈跌貌侮襪唯然承冰鐳掖濃稱瘁隅XXXX