XXXX版CISP0302信息安全風險管理-v30合集課件

1、信息安全風險管理培訓機構名稱講師姓名版本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1珍卿遜橋暮汁除啤艘購此爪栗孔常桿酥點塑鎬膳蠢冠吟媚靛釜甕脫踐搖嘉XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30信息安全風險管理培訓機構名稱版本：3.0珍卿遜橋暮汁除啤艘購課程內容2知識體知識域知識子域信息安全風險管理信息安全風險管理主要內容信息安全風險管理的基本內容和過程信息安全風險管理概述風險相關基本概念信息系統(tǒng)生命周期與信息安全風險管理信息安全風險管理基礎信息安全風險相關政策與標準信息安全風險評估風險評估工作形式風險評估方法風險評估

2、的實施流程風險評估工具慚裂瘍姬夾射睫央彼熾游關羞直薊逸草諱讀恥缽楞樓膽艘云在侵獲灘蠅廷XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30課程內容2知識體知識域知識子域信息安全信息安全風險信息安全風知識域：信息安全風險管理基礎知識子域： 風險相關基礎概念理解風險的概念，理解資產、威脅、脆弱性、業(yè)務戰(zhàn)略、安全事件、安全需求、安全措施等風險相關概念理解風險準則、風險評估、風險處理、風險管理、殘余風險的概念，掌握信息安全風險評估的概念理解風險相關要素之間的關系3繩赦揩揉克身慘磋鵬秒咎燙便量甚往計餐朗套苑巴珠蔫望漱生殺罕舌思蓖XXXX版-CISP03

3、02信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30知識域：信息安全風險管理基礎知識子域： 風險相關基礎概念3繩風險，指事態(tài)的概率及其結果的組合 （ GB/Z 24364-2009信息安全風險管理指南）信息安全風險，指人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響（ GB/T 20984-2007信息安全風險評估規(guī)范）信息安全風險會破壞組織信息資產的保密性、完整性或可用性等屬性風險、信息安全風險的概念4蒜眠螺京扶迎糧煤糞青圭寄熙傅悉于吩位火績日繡慚廷四壟棠國楷哉鐮籍XXXX版-CISP0302信息安全風險管理_v30XX

4、XX版-CISP0302信息安全風險管理_v30風險，指事態(tài)的概率及其結果的組合 （ GB/Z 2436風險的構成包括五個方面：起源（威脅源）、方式（威脅行為）、途徑（脆弱性）、受體（資產）和后果（影響）風險的構成5盎掙么桌拘冊兆擠凍徘啟皂堿影真賞哼剃祁盼揩沙莢絆朽糠弱黔經沁堿淋XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30風險的構成包括五個方面：起源（威脅源）、方式（威脅行為）、途風險相關術語資產（Asset）威脅（ Threat ）脆弱性（Vunerability）可能性（Likelihood, Probability）安全措施/控

5、制措施（Countermeasure, safeguard, control）6業(yè)務戰(zhàn)略安全事件安全需求風險準則風險評估風險處理風險管理殘余風險（Residental Risk）信息安全風險評估邑涼乙柿圣彼逛蔫楔竟酒衣匙郎跪墩恕戒寸棧祝竊噎愚深曳擄禾抬坊捶挫XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30風險相關術語資產（Asset）6業(yè)務戰(zhàn)略邑涼乙柿圣彼逛蔫楔竟資產資產是任何對組織有價值的東西，是要保護的對象資產以多種形式存在（多種分類方法）物理的（如計算設備、網絡設備和存儲介質等）和邏輯的（如體系結構、通信協議、計算程序和數據文件等）

6、硬件的（如計算機主板、機箱、顯示器、鍵盤和鼠標等）和軟件的（如操作系統(tǒng)軟件、數據庫管理軟件、工具軟件和應用軟件等）有形的（如機房、設備和人員等）和無形的（如品牌、信心和名譽等）靜態(tài)的（如設施和規(guī)程等）和動態(tài)的（如人員和過程等）技術的（如計算機硬件、軟件和固件等）和管理的（如業(yè)務目標、戰(zhàn)略、策略、規(guī)程、過程、計劃和人員等）等7油畏儈搔膽嚎芽銘髓釁鎊逞萬抓妻惰躁勢枯猴縫磁贈善嵌鍬齡宵糠醚腺猛XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30資產資產是任何對組織有價值的東西，是要保護的對象7油畏儈搔膽威脅可能導致對系統(tǒng)或組織危害的不希望事故潛在起

7、因引起風險的外因威脅源采取恰當的威脅方式才可能引發(fā)風險威脅舉例操作失誤濫用授權行為抵賴身份假冒口令攻擊密鑰分析8漏洞利用拒絕服務竊取數據物理破壞社會工程孕昆濕匹名復銹褥官呂岔汲縱礙剁弊架悶呢臀視彝秘多舍懷誕擴返昌成漁XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30威脅可能導致對系統(tǒng)或組織危害的不希望事故潛在起因8孕昆濕匹名脆弱性可能被威脅所利用的資產或若干資產的薄弱環(huán)節(jié)造成風險的內因脆弱性本身并不對資產構成危害，但是在一定條件得到滿足時，脆弱性會被威脅源利用恰當的威脅方式對信息資產造成危害脆弱性舉例系統(tǒng)程序代碼缺陷系統(tǒng)設備安全配置錯誤系統(tǒng)

8、操作流程有缺陷維護人員安全意識不足9攢硬傅惠隱擻竹唐牧奶嗎鹵鈣附逆賴澀篷它慮壘籍買道倪洛丈戶蜂諸坐喘XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30脆弱性可能被威脅所利用的資產或若干資產的薄弱環(huán)節(jié)9攢硬傅惠隱可能性某件事發(fā)生的機會威脅源利用脆弱性造成不良后果的機會舉例脆弱性只有國家級測試人員采用專業(yè)工具才能利用，發(fā)生不良后果的機會很小系統(tǒng)存在漏洞，但只在與互聯網物理隔離的局域網運行，發(fā)生不良后果的機會較小互聯網公開漏洞且有相應的測試工具，發(fā)生不良后果的機會很大10翹語揀逃營岔啪搪后像哼淮淹數拜郎懦啤紙邊著翌咎朋百片飯吟垛纂蜂姆XXXX版-

9、CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30可能性某件事發(fā)生的機會10翹語揀逃營岔啪搪后像哼淮淹數拜郎懦對風險概念的理解威脅源采用某種威脅方式利用脆弱性造成不良后果的可能性 網站存在SQL注入漏洞，普通攻擊者利用自動化攻擊工具很容易控制網站，修改網站內容，從而損害國家政府部門聲譽11威脅源威脅方式脆弱性風險采取利用造成塑煥毋葵熏恿型涯針秩臣構杰鴉汲梅磊墊返唇綱害狙粹役閱瞳杜浚賺耀獸XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30對風險概念的理解威脅源采用某種威脅方式利用脆弱性造成不良后果對信

10、息安全風險的理解信息安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的信息相關資產損失或損害的可能性信息安全風險是指信息資產的保密性、完整性和可用性遭到破壞的可能性信息安全風險只考慮那些對組織有負面影響的事件12賒沾僵楓肅肺安灶女淚猾眉羚蔣庚蓮折楞啟鵑萊帥臟敬幢儒它疽掇巫庭勉XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30對信息安全風險的理解信息安全風險是指一種特定的威脅利用一種或信息安全風險評估13是依據有關信息安全技術與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程它要評估資產面

11、臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產價值來判斷安全事件一旦發(fā)生對組織造成的影響供徘緯很無憨郎塊慨飽鋸傈呼砌惦澳聽許蝶柳渣證毯村湖焚吧秸手刁閃獰XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30信息安全風險評估13是依據有關信息安全技術與管理標準，對信息風險處理、風險管理14風險處理是選擇并且執(zhí)行措施來更改風險的過程風險管理是識別、控制、消除或最小化可能影響系統(tǒng)資源不確定因素的過程審可日扇霜燈湍湖晤森熱凈屎嫡兄恢漫里俞點鵑增圾鴨集稠四鏡莫衛(wèi)困痊XXXX版-CISP0302信息安全風險管理_v30XXXX版

12、-CISP0302信息安全風險管理_v30風險處理、風險管理14風險處理是選擇并且執(zhí)行措施來更改風險的安全措施/控制措施保護資產，抵御威脅，減少脆弱性，降低安全事件的影響，以及打擊信息犯罪而實施的各種實踐、規(guī)程和機制，它是管理風險的具體手段和方法根據安全需求部署，用來防范威脅，降低風險的措施舉例部署防火墻、入侵檢測、審計系統(tǒng)測試環(huán)節(jié)操作審批環(huán)節(jié)應急體系終端U盤管理制度15兄真濁穿所物奶揍榴恨巒藥炔緘噪喚峨村癌儉并磋扔胎處誘喧衫損搓純鄂XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30安全措施/控制措施保護資產，抵御威脅，減少脆弱性，降低安全

13、事殘余風險采取了安全措施后，信息系統(tǒng)仍然可能存在的風險有些殘余風險是在綜合考慮了安全成本與效益后不去控制的風險殘余風險應受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件舉例風險列表中有10項風險，根據風險成本效益分析，只有前8項需要控制，則前8項處理后剩余的風險加上另2項風險為殘余風險，一段時間內系統(tǒng)處于風險可接受水平16商算竟塘琶忍將漏煤蜀渝么佃悲仔五訓瘡搖蓑皆八靜漬勁揀示鎊姿曝拐盡XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30殘余風險采取了安全措施后，信息系統(tǒng)仍然可能存在的風險16商算風險相關要素之間的關系17閏痊準雇請穆踏寅問消給慘覆

14、放聯砷發(fā)鹽乞鉛巷后限根融噓紋相歇皂雕蓖XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30風險相關要素之間的關系17閏痊準雇請穆踏寅問消給慘覆放聯砷發(fā)知識域：信息安全風險管理基礎知識子域： 信息安全風險管理概述理解實施風險管理的主要原則理解風險管理的范圍和對象18電奪訪況義放什橢址晤獲瓣貢頌株曾想亭靡胃個柵鈣佰糾氧車芳團壟鎖炸XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30知識域：信息安全風險管理基礎知識子域： 信息安全風險管理概述實施風險管理的主要原則風險管理創(chuàng)造和保護價值風險管理是所

15、有組織過程不可分割的一個部分，促進組織的持續(xù)改進風險管理是透明的，參與人員應包含廣泛，同時考慮人員和文化因素風險管理是定制的，并具有體系化、結構化的特點風險管理是動態(tài)的、反復的和響應變化的19懈閏籮呈瞇讓整騎鼎馳眨閻鞘花叉萍逐果襲多蠱雷蕊娟衍逸芽店坤虎俊挎XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30實施風險管理的主要原則風險管理創(chuàng)造和保護價值19懈閏籮呈瞇讓風險管理的范圍和對象信息安全的概念涵蓋了信息、信息載體和信息環(huán)境三個方面的安全信息載體指承載信息的媒介，即用于記錄、傳輸、積累和保存信息的實體，如紙張、硬盤、網線等信息環(huán)境指信息及

16、信息載體所處的環(huán)境，包括物理平臺、系統(tǒng)平臺、網絡平臺和應用平臺等硬環(huán)境和軟環(huán)境信息安全風險管理涉及信息安全上述三個方面包含的所有相關對象對于一個具體的信息系統(tǒng)，風險管理選擇的范圍和對象重點應有所不同20站卡唾雹尤吭裙驟逞菏喻螺淌畦爺歡班山粱捕秋吻肇礬逞陣矽眩諺凈被舵XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30風險管理的范圍和對象信息安全的概念涵蓋了信息、信息載體和信息知識域：信息安全風險管理基礎知識子域： 信息安全風險相關政策與標準了解我國有關信息安全風險管理的政策要求了解信息安全風險管理相關的國內外標準21誕砒容屆壟姚鼎態(tài)浩事鈣貓掩

17、鑼蚤方刷弘哺攀翻梨疇殃哺拜褥逆仕場份俞XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30知識域：信息安全風險管理基礎知識子域： 信息安全風險相關政策我國有關信息安全風險管理的政策要求國家信息化領導小組關于加強信息安全保障工作的意見（中辦發(fā)200327號）明確提出要重視信息安全風險評估工作，將風險評估作為提高我國信息安全保障水平的一項重要舉措關于開展信息安全風險評估工作的意見（國信辦20065號），就信息安全風險評估工作的基本內容和原則，以及開展信息安全風險評估工作的有關安排等做出規(guī)定和部署關于加強國家電子政務工程建設項目信息安全風險評估工作

18、的通知（發(fā)改高技20082071號），規(guī)范了國家電子政務工程建設項目信息安全風險評估工作22言刊霄病傭定租駐梧冗馱梭靡躥堆河瑰砸棱篆發(fā)文傷硒婁剮岸棧倚屎鮮頤XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30我國有關信息安全風險管理的政策要求國家信息化領導小組關于加關于開展信息安全風險評估工作的意見 （國信辦20065號）的實施要求信息安全風險評估工作應當貫穿信息系統(tǒng)全生命周期。規(guī)劃設計階段、驗收時均應實施風險評估；運行后應定期實施應通過信息安全風險評估為信息系統(tǒng)確定安全等級提供依據，根據風險評估的結果檢驗網絡與信息系統(tǒng)的防護水平是否符合等級

19、保護的要求23舟迅煙騷宋駱轄攻尾訂虹蘑羨術變劇鍍饋妊待簾性未謎痕餒昏車錯麓襄秉XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30關于開展信息安全風險評估工作的意見 （國信辦2006關于開展信息安全風險評估工作的意見（國信辦20065號）的管理要求為規(guī)避由于風險評估工作而引入新的安全風險，必須高度重視信息安全風險評估的組織管理工作。要求：參與信息安全風險評估工作的單位及其有關人員必須遵守國家有關信息安全的法律法規(guī)，并承擔相應的責任和義務風險評估工作的發(fā)起方必須采取相應保密措施，并與參與評估的有關單位或人員簽訂具有法律約束力的保密協議對關系國計

20、民生和社會穩(wěn)定的基礎信息網絡和重要信息系統(tǒng)的信息安全風險評估工作必須遵循國家的有關規(guī)定進行 24翠橋傭糧潮濕拯鶴但汕風縷汲嶼瀕封叼昆色剩飯莫楚劃企翅恥夏罕熾桔覆XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30關于開展信息安全風險評估工作的意見（國信辦20065關于加強國家電子政務工程建設項目信息安全風險評估工作的通知（發(fā)改高技【2008】2071號）電子政務工程建設項目應開展信息安全風險評估工作項目建設單位應在試運行期間開展風險評估工作，作為項目驗收的重要依據項目驗收申請時，應提交信息安全風險評估報告系統(tǒng)投入運行后，應定期開展信息安全風險

21、評估25做蜘糯癥綸給該季早貢邢認播纖柄酥怖喘安橇乍雇里遏詣獻荊肯轎斃老淄XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30關于加強國家電子政務工程建設項目信息安全風險評估工作的通知信息安全風險管理相關的國內外標準GB/T 20984-2007信息安全風險評估規(guī)范GB/Z 24364-2009信息安全風險管理指南ISO/IEC 27005:2011信息安全風險管理ISO GUIDE 73:2009風險管理術語ISO 31000:2009風險管理主要原則和指南IEC/ISO 31010:2009風險管理風險評估技術NIST SP800-30 (

22、2012)實施風險評估指南NIST SP800-39 (2011) 管理信息安全風險：組織、使命和信息系統(tǒng)梗概NIST SP800-37 (2010) 聯邦信息系統(tǒng)應用風險管理框架指南：安全生命周期方法NIST SP800-53 (2010) 為聯邦信息系統(tǒng)和組織推薦的安全控制措施NIST SP800-53A (2010) 聯邦信息系統(tǒng)和組織安全控制措施評估指南：建立有效的安全評估計劃26暫音罕誨鄂規(guī)寒捕吁嗆冬罰舟嫌訂丈蟲臍止赦婁勞陷勾漓妊鑿屆琉哲胯僻XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30信息安全風險管理相關的國內外標準GB/T

23、 20984-200知識域：信息安全風險管理主要內容知識子域： 信息安全風險管理的基本內容和過程理解背景建立的主要工作內容理解風險評估的主要工作內容理解風險處理的主要工作內容理解批準監(jiān)督的主要工作內容理解監(jiān)控審查的主要工作內容理解溝通咨詢的主要工作內容27豬室腔很后歇雖咕孔綽萌拿黎漿健箋寐獰奏拳劈亥苑翠熔詭傻竊技搭債脊XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30知識域：信息安全風險管理主要內容知識子域： 信息安全風險管理信息安全風險管理工作內容背景建立風險評估風險處理批準監(jiān)督監(jiān)控審查溝通咨詢GB/Z 24364信息安全風險管理指南：四

24、個階段，兩個貫穿 28仟攘腹?jié)嶈T醒短漣受擬撾埠消梳請鈣漱馬設睦恢肄捆筐邀督融末繃品禽嘲XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30信息安全風險管理工作內容背景建立風險評估風險處理批準監(jiān)督監(jiān)控背景建立背景建立是信息安全風險管理的第一步驟，確定風險管理的對象和范圍，確立實施風險管理的準備，進行相關信息的調查和分析風險管理準備：確定對象、組建團隊、制定計劃、獲得支持信息系統(tǒng)調查：信息系統(tǒng)的業(yè)務目標、技術和管理上的特點信息系統(tǒng)分析：信息系統(tǒng)的體系結構、關鍵要素信息安全分析：分析安全要求、分析安全環(huán)境29锨馴蹤捧床啦惹憶秋眼弱夕妹霞泛娃騾印復訓

25、梁飛婦蜜滅疏型朋入僳遜甜XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30背景建立背景建立是信息安全風險管理的第一步驟，確定風險管理的背景建立過程30伶眺篷哪棕妨搪馴影辛賽搖疊咳牡境屏資欽馳交喜淮逗昭歪諒固魚斡貓議XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30背景建立過程30伶眺篷哪棕妨搪馴影辛賽搖疊咳牡境屏資欽馳交喜風險評估信息安全風險管理要依靠風險評估的結果來確定隨后的風險處理和批準監(jiān)督活動風險評估準備：制定風險評估方案、選擇評估方法風險要素識別：發(fā)現系統(tǒng)存在的威脅、脆弱性和控制

26、措施風險分析：判斷風險發(fā)生的可能性和影響的程度風險結果判定：綜合分析結果判定風險等級31湖廈九評膊襖膏貼蝎摸綿未囪啟顯倒饋棧領誘掌雀決旱鉆堂閏蛔怪吼嗅叛XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30風險評估信息安全風險管理要依靠風險評估的結果來確定隨后的風險風險評估過程32辯猿褪蘑各博殘頁郝渣驗試塘癟鈕凸要崗拽糜尖奪諧膩抬翹獻斯陳縷肋冒XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30風險評估過程32辯猿褪蘑各博殘頁郝渣驗試塘癟鈕凸要崗拽糜尖奪風險處理風險處理是為了將風險始終控制在可

27、接受的范圍內?，F存風險判斷：判斷信息系統(tǒng)中哪些風險可以接受，哪些不可以處理目標確認：不可接受的風險需要控制到怎樣的程度處理措施選擇：選擇風險處理方式，確定風險控制措施處理措施實施：制定具體安全方案，部署控制措施33馮果環(huán)副用十賽鴕丫低錄煤歷能權遞羹模終鐐胰僑雜澀腮譬濘挑見帕橢齊XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30風險處理風險處理是為了將風險始終控制在可接受的范圍內。33馮風險處理過程34福折裸嗆輿齲抬倔黃斑磨闖慧聽皚徒殃膚齲述炯格淚販揉怖砌槐棗斤漬弘XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP030

28、2信息安全風險管理_v30風險處理過程34福折裸嗆輿齲抬倔黃斑磨闖慧聽皚徒殃膚齲述炯減低風險轉移風險規(guī)避風險接受風險常用的四類風險處置方法35越拂椅漢酮嫉迅腺廖坷鼻網蘑煮祟蚤比齋酶粳貍翹圈睫皺啃給渦聘禮吶砌XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30減低風險常用的四類風險處置方法35越拂椅漢酮嫉迅腺廖坷鼻網減低風險通過對面臨風險的資產采取保護措施來降低風險 首先應當考慮的風險處置措施，通常在安全投入小于負面影響價值的情況下采用保護措施可以從構成風險的五個方面（即威脅源、威脅行為、脆弱性、資產和影響）來降低風險36芬啡殲床垂愿謝絞司喳狼

29、譬噬聘研娶羔花姻交紗巋靶嘶札凍綸描知誤瘩沮XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30減低風險通過對面臨風險的資產采取保護措施來降低風險 36芬啡減低風險的具體辦法減少威脅源采用法律的手段制裁計算機犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機減低威脅能力采取身份認證措施，從而抵制身份假冒這種威脅行為的能力減少脆弱性及時給系統(tǒng)打補丁，關閉無用的網絡服務端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性防護資產采用各種防護措施，建立資產的安全域，從而保證資產不受侵犯，其價值得到保持降低負面影響采取容災備份、應急響應和業(yè)務連續(xù)計劃等措施，

30、從而減少安全事件造成的影響程度37甚杯追情周降佰鈔突揀餃瀑芬磋堤墮誼猾輪穢榔癸夯屠臂碉叛悍絞脹淀認XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30減低風險的具體辦法減少威脅源37甚杯追情周降佰鈔突揀餃瀑芬磋轉移風險通過將面臨風險的資產或其價值轉移到更安全的地方來避免或降低風險通常只有當風險不能被降低或避免、且被第三方（被轉嫁方）接受時才被采用。一般用于那些低概率、但一旦風險發(fā)生時會對組織產生重大影響的風險38購買保險服務外包輪徑禁吮宗六蜂檻祥鴕劑估摩微身咆襄褲匝哀整陽部曹儲嗣暢東劍毯憤瘧XXXX版-CISP0302信息安全風險管理_v30

31、XXXX版-CISP0302信息安全風險管理_v30轉移風險通過將面臨風險的資產或其價值轉移到更安全的地方來避免規(guī)避風險通過不使用面臨風險的資產來避免風險。比如：在沒有足夠安全保障的信息系統(tǒng)中，不處理特別敏感的信息，從而防止敏感信息的泄漏對于只處理內部業(yè)務的信息系統(tǒng)，不使用互聯網，從而避免外部的有害入侵和不良攻擊通常在風險的損失無法接受，又難以通過控制措施減低風險的情況下39答端桔骯蕪鍬牧撼礙于幢冕乒爵繡夜擂系頓夾吧僑廟叁窩駭硒鏟疚纓韓隴XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30規(guī)避風險通過不使用面臨風險的資產來避免風險。比如：39

32、答端桔接受風險接受風險是選擇對風險不采取進一步的處理措施，接受風險可能帶來的結果 用于那些在采取了降低風險和避免風險措施后，出于實際和經濟方面的原因，只要組織進行運營，就必然存在并必須接受的風險 接受風險不意味著不聞不問，需要對風險態(tài)勢變化進行持續(xù)的監(jiān)控，一旦發(fā)展為無法接受的風險就要進一步采取措施40俠震匹鼻雅輕遷鋒拭導螞孟秋裔潭忽滓砂予齡抿鼓矯競劃荔莊驅咽瑰讀速XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30接受風險接受風險是選擇對風險不采取進一步的處理措施，接受風險批準監(jiān)督批準：是指機構的決策層依據風險評估和風險處理的結果是否滿足信息

33、系統(tǒng)的安全要求，做出是否認可風險管理活動的決定監(jiān)督：是指檢查機構及其信息系統(tǒng)以及信息安全相關的環(huán)境有無變化，監(jiān)督變化因素是否有可能引入新風險41滇撻粒音杖匈偏抖秘空心枕宗際擬女盾罐世押灰照軍梨虎棺汁翔亡膘倘糠XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30批準監(jiān)督批準：是指機構的決策層依據風險評估和風險處理的結果是批準監(jiān)督過程42疫六蟻錢維換聊痢關迪蔓筏鹽早跡乞垛算仆異蓮敘倚僥隴乾惑硝門撐窮焰XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30批準監(jiān)督過程42疫六蟻錢維換聊痢關迪蔓筏鹽早

34、跡乞垛算仆異蓮監(jiān)控審查的意義監(jiān)控與審查可以及時發(fā)現已經出現或即將出現的變化、偏差和延誤等問題，并采取適當的措施進行控制和糾正，從而減少因此造成的損失，保證信息安全風險管理主循環(huán)的有效性43類似信息系統(tǒng)工程中的監(jiān)理魄墊隨絡塘擦獨防滌緩了嗆躁赴課崗戶皇控雖窮勵惺彤哥工胖華旭絮募徑XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30監(jiān)控審查的意義監(jiān)控與審查可以及時發(fā)現已經出現或即將出現的變化監(jiān)控審查過程44詞博辨終閻僳鞭綠報周罕層尾紉塢坊鹵忻哭懲廂伏亦舶柯沂藉柞韭撿瓷夕XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302

35、信息安全風險管理_v30監(jiān)控審查過程44詞博辨終閻僳鞭綠報周罕層尾紉塢坊鹵忻哭懲廂溝通咨詢通過暢通的交流和充分的溝通，保持行動的協調和一致；通過有效的培訓和方便的咨詢，保證行動者具有足夠的知識和技能，就是溝通咨詢的意義所在溝通咨詢 與領導溝通，以得到理解和批準 單位內部各有關部門相互溝通，以得到理解和協作 與支持單位和系統(tǒng)用戶溝通，以得到了解和支持 為所有層面的相關人員提供咨詢和培訓等，以提高人員的安全意識、知識和技能45廄厄雪撐滋閻轉血鄧登甄真夫埃椒久贏翹牟冀和埋憂止牡瓦幻躥氯她腸辨XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30溝通咨

36、詢通過暢通的交流和充分的溝通，保持行動的協調和一致；通溝通咨詢過程46低署哪蛆殿堤嘩殃棗默擬慘褒藹睦復鈴頹同萎申奶罐僥契沉器干喇幸就領XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30溝通咨詢過程46低署哪蛆殿堤嘩殃棗默擬慘褒藹睦復鈴頹同萎申奶知識域：信息安全風險管理主要內容知識子域： 信息系統(tǒng)使命周期與信息安全風險管理理解信息系統(tǒng)生命周期與信息安全風險管理的關系理解系統(tǒng)規(guī)劃階段的風險管理工作內容理解系統(tǒng)設計階段的風險管理工作內容理解系統(tǒng)實施階段的風險管理工作內容理解系統(tǒng)運行維護階段的風險管理工作內容理解系統(tǒng)廢棄階段的風險管理工作內容47薩

37、痹臼標桌緬頓幻售炮候市募百級偉句醫(yī)申礙醫(yī)境料紅閹隅枕奇閡抱潦苗XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30知識域：信息安全風險管理主要內容知識子域： 信息系統(tǒng)使命周期信息系統(tǒng)生命周期與信息安全風險管理的關系信息系統(tǒng)生命周期的每個階段，有不同的信息安全目標為了達到其安全目標，每一階段都需要相應的風險管理手段作為支持 信息安全目標就是要實現信息系統(tǒng)的基本安全特性（即信息安全基本屬性），并達到所需的保障級別48強克威萬惹晰乃并背勿荊贛冬豹網巳雄痊錯拆獺滌操鬼攏倍塑空仇慧周滇XXXX版-CISP0302信息安全風險管理_v30XXXX版-CI

38、SP0302信息安全風險管理_v30信息系統(tǒng)生命周期與信息安全風險管理的關系信息系統(tǒng)生命周期的每規(guī)劃設計實施運維廢棄系統(tǒng)規(guī)劃階段的安全目標49明確信息系統(tǒng)安全建設的目的,對信息系統(tǒng)安全建設實現的可能性進行分析論證并設計出總體安全規(guī)劃方案為了保證安全目標的實現，需要對信息系統(tǒng)規(guī)劃階段中可能引入安全風險的環(huán)節(jié)進行風險管理，從而降低在項目后期處理相同安全風險所帶來的高額成本塘刁樣擁調盜葬彌喲射猶筒功昂派舀郵雁侶盅搭崇磨是句丸著戲腮孰咱算XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30規(guī)劃設計實施運維廢棄系統(tǒng)規(guī)劃階段的安全目標49塘刁樣擁調盜葬序

39、號風險管理活動風險管理工作內容1明確安全總體方針背景建立2安全需求分析背景建立4風險評估準則達成一致風險評估5安全實現論證分析風險處理、批準監(jiān)督系統(tǒng)規(guī)劃階段的信息安全風險管理50播綠議騁弓鉛君吮口造霜程勺匆灘切的慫瞥瀑傻篷繡役和烤挑苞幀瀉手嘯XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30序號風險管理活動風險管理工作內容1明確安全總體方針背景建立2系統(tǒng)設計階段的安全目標51規(guī)劃設計實施運維廢棄依據規(guī)劃階段輸出的總體安全規(guī)劃方案來設計信息系統(tǒng)安全的實現結構（包括功能劃分、接口協議和性能指標等）和實施方案（包括實現技術、設備選型和系統(tǒng)集成等）

40、在設計信息系統(tǒng)的實現結構和實施方案時，在技術的選擇、配合、管理等眾多的環(huán)節(jié)均容易引入安全風險，因此對關鍵的環(huán)節(jié)應提出必要的安全要求并有針對性地進行安全風險管理農政歡瘸簿肺品慎濤憾匣細炬惱炕咋課間畜劍也浩逃夸覺票回汗監(jiān)稍庭噓XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30系統(tǒng)設計階段的安全目標51規(guī)劃設計實施運維廢棄農政歡瘸簿肺品系統(tǒng)設計階段的信息安全風險管理 序號風險管理活動風險管理工作內容1設計方案分析論證背景建立、風險評估2安全技術選擇風險處理3安全產品選擇風險處理4自開發(fā)軟件設計風險處理風險處理52揩暢憎達斗舉芭蓬娟肺惕戊甫垃宏柬疚

41、柏錄惺襄唉皋滾奠幅芽槽凈蔭凝悄XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30系統(tǒng)設計階段的信息安全風險管理 序號風險管理活動風險管理工作系統(tǒng)實施階段的安全目標53規(guī)劃設計實施運維廢棄按照規(guī)劃和設計階段所定義的信息系統(tǒng)安全實施方案采購設備和軟件，開發(fā)定制功能集成、部署、配置和測試信息系統(tǒng)的安全機制培訓人員對是否允許系統(tǒng)投入運行進行批準監(jiān)督趙褂窺咖卒聽豌侵行咨敲芝瑯拱龍偵遁顛楞挪垃蜘掃虞思薄撰現遣待檀嗓XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30系統(tǒng)實施階段的安全目標53規(guī)劃設計實

42、施運維廢棄趙褂窺咖卒聽豌系統(tǒng)實施階段的信息安全風險管理 序號風險管理活動風險管理工作內容1安全測試風險評估2檢查與配置風險處理3人員培訓風險處理4授權系統(tǒng)運行批準監(jiān)督54氧些趨但朱蓖吏覽餒顱曾肖藝撤欽么明轟弘碴跌背辰奪塢毛托吊疇梗仰徘XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30系統(tǒng)實施階段的信息安全風險管理 序號風險管理活動風險管理工作在信息系統(tǒng)經過授權投入運行之后，確保在運行過程中，以及信息系統(tǒng)或其運行環(huán)境發(fā)生變化時維持系統(tǒng)的正常運行和安全性系統(tǒng)運維階段的安全目標55規(guī)劃設計實施運維廢棄堿姿赦層裴坐于終科瑪裁曼廈韌皮址寇夜堅缽剃釬漠

43、跋堰扇羚晉艦撕操迪XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30系統(tǒng)運維階段的安全目標55規(guī)劃設計實施運維廢棄堿姿赦層裴坐于系統(tǒng)運維階段的信息安全風險管理 序號風險管理活動風險管理工作內容1安全運行和管理風險評估、風險處理2變更管理風險評估、風險處理3風險再評估風險評估、風險處理4定期重新審批批準監(jiān)督56頑槍歪廣腳布先羅經甚烙陷擊約詛矮嫂緘奇萎勵腸衰而疲贈址吵柱諸晰淘XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30系統(tǒng)運維階段的信息安全風險管理 序號風險管理活動風險管理工作確保對信

44、息系統(tǒng)的過時或無用部分進行安全報廢處理，防止信息系統(tǒng)的安全要求和安全功能遭到破壞系統(tǒng)廢棄階段的安全目標57規(guī)劃設計實施運維廢棄窺攝脆弛課猛駱址錫望纓登撰洶硒咎敢輸撈恤占莆烏偷揍碴規(guī)士蟹烴椅閹XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30系統(tǒng)廢棄階段的安全目標57規(guī)劃設計實施運維廢棄窺攝脆弛課猛駱信息系統(tǒng)廢棄階段的風險管理序號風險管理活動風險管理工作內容1確定廢棄對象背景建立2廢棄對象的風險評估風險評估3廢棄過程的風險處理風險處理4廢棄后的評審批準監(jiān)督58儲壺卜鴉訛必霓誓舉喪邑雇伊園晤彼聯挎絹舵雨擾抬邪搶篩鴦且想蹭竭帕XXXX版-CISP

45、0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30信息系統(tǒng)廢棄階段的風險管理序號風險管理活動風險管理工作內容1知識域：信息安全風險評估知識子域： 風險評估工作形式理解自評估和檢查評估的風險評估工作形式理解自評估和檢查評估的區(qū)別及優(yōu)缺點理解風險評估、檢查評估和等級保護測評之間的關系59獻登禍霸邁定誅塢沛僑鴿絨鳥種紊賴夯黔漲余績銷尚迄焙墳唱耽滋尤仗希XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30知識域：信息安全風險評估知識子域： 風險評估工作形式59獻登風險評估工作形式信息安全風險評估分為自評估、檢查評估兩

46、種形式自評估為主，自評估和檢查評估相互結合、互為補充自評估和檢查評估可依托自身技術力量進行，也可委托第三方機構提供技術支持60螟厭觀噎陰船宗阿虎盼軌誕底渡奶宛婚落黍飼捆筒注翱抿帶站廂廂七律擾XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30風險評估工作形式信息安全風險評估分為自評估、檢查評估兩種形式自評估信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估61由發(fā)起方實施優(yōu)點有利于降低實施的費用有利于保密有利于發(fā)揮行業(yè)和部門內人員的業(yè)務特長有利于提高相關人員的安全意識和評估能力缺點可能結果不夠深入準確客觀性易受影響由受委托方實施

47、優(yōu)點過程比較規(guī)范客觀性比較好缺點對業(yè)務了解存在局限性不利于保密逗訓芳繳棘膊產冬祁洲屆渣族札激正亮頒縫黨尼褥官蕊派摧銘蹦抉谷韭禱XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30自評估信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行檢查評估信息系統(tǒng)上級管理部門組織的或國家有關職能部門依法開展的風險評估62優(yōu)點具權威性通過行政手段加強信息安全，具強制性缺點間隔時間較長，難以貫穿信息系統(tǒng)的生命周期一般是以抽樣的方式進行，難以覆蓋全部評估對象法灣帳砧髓締帆團定麥占南卉究傾邪評券音瑩昧珍釁販達杭癰緊品輛馳俘XXXX版-CISP0302信息安全風

48、險管理_v30XXXX版-CISP0302信息安全風險管理_v30檢查評估信息系統(tǒng)上級管理部門組織的或國家有關職能部門依法開展風險評估、檢查評估和等級保護測評之間的關系等保測評、安全檢查都是在既定安全基線的基礎上開展的符合性測評，其中等保測評是符合國家安全要求的測評，安全檢查是符合行業(yè)主管安全要求的符合性測評而風險評估是在國家、行業(yè)安全要求的基礎上，以被評估系統(tǒng)特定安全要求為目標而開展的風險識別、風險分析、風險評價活動63整綢米墓紡控誡術蓮鋒烈壕租擒倫罪餌像煥臥肌囪溢抨埔尹浪徘歲詣棒匈XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30風險評

49、估、檢查評估和等級保護測評之間的關系等保測評、安全檢查知識域：信息安全風險評估知識子域： 風險評估方法理解定性風險分析方法理解定量風險分析方法，掌握年度預期損失（ALE）的計算方法理解半定量風險分析方法理解定性和定量風險分析方法的優(yōu)缺點64肯聊絆全巨郎凌練縫纏撻裸濫堆漫派廢茨及舞甄乳鮑佐桔拼陽幽卞周嫂擅XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30知識域：信息安全風險評估知識子域： 風險評估方法64肯聊絆全定性風險分析定性風險分析在風險評價時，往往需要憑借分析者的經驗和直覺，或者業(yè)界的標準和慣例，為風險諸要素的大小或高低程度定性分級定性

50、風險分析更具主觀性后果或影響的定性量度（示例）65等級描述 詳細情形 1可以忽略無傷害，低財務損失 2 較小立即受控制，中等財務損失 3 中等 受控，高財務損失 4 較大大傷害，失去生產能力有較大財務損失 5災難性持續(xù)能力中斷，巨大財務損失待鍋搔眨敖作酷司藍娥懶薔孺階府答捶圣鷹患擻酚遇桌草骨造珠虧剪土恤XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30定性風險分析定性風險分析在風險評價時，往往需要憑借分析者的經可能性的定性量度（示例）等級描述 詳細情形 A幾乎肯定預期在大多數情況發(fā)生 B很可能在大多數情況下很可能會發(fā)生 C可能在某個時間可能

51、會發(fā)生 D不太可能在某個時間能夠發(fā)生 E罕見僅在例外的情況下可能發(fā)生定性風險分析66礬爺避諒陣刁錠零錫胖糟越霍豎頹坡碳懼鱉既閣氓獅染泌墊懈姿怪噎治梢XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30可能性的定性量度（示例）等級描述 詳細根據預設的等級劃分規(guī)則判定風險結果依此類推，得到所有重要資產的風險值，并根據風險等級劃分表，確定風險等級 可能性 影響可以忽略1較小2中等3較大4災難性5A（幾乎肯定）HHEEEB （很可能）MHH EEC ( 可能）LMHEED（不太可能）LLMHEE （罕見）LLMHH E：極度風險 H：高風險 M：中等

52、風險 L: 低風險定性風險分析矩陣法67繭厄題束濕荊貴傻渙盧侯盤儉錳植洛國萬棗入粘充御孤蟄臆把合橫騎傅滯XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30根據預設的等級劃分規(guī)則判定風險結果 定量風險分析定量風險分析試圖是在風險評估與成本效益分析期間收集的各個組成部分計算客觀數字值，定量風險分析更具客觀性例如，用替換成本、生產率損失成本、品牌名譽成本以及其他直接和間接商業(yè)價值來估計各項資產的真實價值定量分析主要試圖從財務數字上對安全風險進行評估，得出可以量化的風險分析結果，準確度量風險的可能性和損失量因為定量分析處理數字和金額價值，它必須有公

53、式68瘦蝦甸輝襪法晚悄森趴筋替譚榷烽卿冠哺餌赴窘恿獎問幢撫溯碉榨砌鼎軍XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30定量風險分析定量風險分析試圖是在風險評估與成本效益分析期間收定量風險分析年度預期損失法步驟1 - 評估資產：根據資產價值（AV）清單,計算資產總價值及資產損失對財務的直接和間接影響步驟2 - 確定單一預期損失SLESLE 是指發(fā)生一次風險引起的收入損失總額SLE 是分配給單個事件的金額，代表一個具體威脅利用漏洞時將面臨的潛在損失 （SLE 類似于定性風險分析的影響）將資產價值與暴露系數相乘 (EF) 計算出 SLE。暴露系

54、數表示為現實威脅對某個資產造成的損失百分比 步驟3 - 確定年發(fā)生率AROARO 是一年中風險發(fā)生的次數69程勛慰高悅證彰酪帽礎埔必枚極讕諄征候捷歲鐘稻霜哉喪俐彰勒欄梢藹黑XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30定量風險分析年度預期損失法步驟1 - 評估資產：根據資產步驟4 - 確定年預期損失ALEALE 是不采取任何減輕風險的措施在一年中可能損失的總金額。 SLE 乘以 ARO 即可計算出該值（ALE 類似于定性風險分析的相對級別）步驟5 - 確定控制成本控制成本就是為了規(guī)避企業(yè)所存在風險的發(fā)生而應投入的費用步驟6 - 安全投資

55、收益ROSIROSI = (實施控制前的ALE）（實施控制后的ALE） （年控制成本）70定量風險分析年度預期損失法（續(xù)）距礎叢鳳美?？逶沤杳掠【諗M倆鞍向灰鍘尊漏邑餒僥封礁販弱吐莢們穿芽XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30步驟4 - 確定年預期損失ALE70定量風險分析年度預期定性分析與定量分析71定量定性優(yōu)點結果可用貨幣值和具體數據（如百分比）來表達按財務影響確定風險優(yōu)先級；按財務價值確定資產優(yōu)先級通過安全投資收益分析推動風險管理隨著組織建立的歷史數據記錄而獲得經驗，其精確度將隨時間的推移而提高可以對風險的處置排定優(yōu)先順序更

56、容易達成一致意見無需量化威脅頻率無需確定資產的財務價值更便于非安全或計算機專業(yè)人員的參與缺點分配給風險的影響值以參與者的主觀意見為基礎達成可靠結果和一致意見的流程非常耗時計算可能會非常復雜且耗時流程專業(yè)技術性強，參與者若未獲指導則無法輕松執(zhí)行流程在重要的風險之間沒有足夠的區(qū)別沒有為成本效益分析，難以證明投資控制措施是否正確結果取決于風險管理團隊的素質、經驗和知識技能瓢婉霄渴寄媒蔫弓逆舞鐘鼓兇聳郡族尾北煽勻詣輾郎藝濟勇澗艦悅渤國焙XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30定性分析與定量分析71定量定性優(yōu)點結果可用貨幣值和具體數據在風險

57、分析過程中綜合使用定性和定量風險分析技術對風險要素賦值的方式，實現對風險各要素的度量數值化在實際的風險分析活動中，經常采用半定量的風險分析方法72半定量風險分析垮啪苔貿辛緣取幟銅矗弟玲眩夯轟孵踢亦佑壓逾毗董麗苦漏癬磋獲免寫元XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30在風險分析過程中綜合使用定性和定量風險分析技術對風險要素賦值半定量風險分析相乘法73 可能性影響可以忽略1較小2中等3較大4災難性55（幾乎肯定）5101520254 （很可能）4812 16203 ( 可能）36912152（不太可能）2468101 （罕見）12345

58、怠您都貌獲鄧成陪壤迂邯斥弄浚伯邏紊旬商為坊宣疫黍緘程伎謠枕捆蘊誕XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30半定量風險分析相乘法73 影響可以忽略較小中等較大災難性知識域：信息安全風險評估知識子域： 風險評估的實施流程掌握風險評估準備階段的工作內容掌握風險要素識別階段的工作內容掌握風險分析階段的工作內容和工作步驟 掌握風險結果判定階段的工作內容74課訴橋帛請利猾洋裂袒病絞慶疙層峰顛婆座圾跳佑賊晤仔繞婉財搗酬豆瞅XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30知識域：信息安全風險評

59、估知識子域： 風險評估的實施流程74課風險評估準備風險要素識別風險分析風險結果判定75風險評估實施流程柔熊攀郵龜飄錯擬迸巖疇諄潛規(guī)韻嗡癬輾鉑輝殺爾圾豢棠完樂享桃泵礬溺XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v30風險評估準備75風險評估實施流程柔熊攀郵龜飄錯擬迸巖疇諄潛規(guī)76風險評估準備爆吉蛹慎醇遇傘斑喻壩忘憊宮龐櫥酵是寨缺律皖虱梭垛哪沒諜哎腸溢惟殉XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v3076風險評估準備爆吉蛹慎醇遇傘斑喻壩忘憊宮龐櫥酵是寨缺律皖虱77風險要素識別漲憾柴便侖

60、削減坡諸便璃潔吏艙箋獸姿泛腮賒借性法緯瞇囂箔悟滄巡形胯XXXX版-CISP0302信息安全風險管理_v30XXXX版-CISP0302信息安全風險管理_v3077風險要素識別漲憾柴便侖削減坡諸便璃潔吏艙箋獸姿泛腮賒借性78資產識別 資產識別在整個風險評估中起什么作用？ 兩點：是整個風險評估工作的起點和終點 資產識別的重點和難點是什么？ 一線：業(yè)務戰(zhàn)略 信息化戰(zhàn)略 系統(tǒng)特征（管理/技術） 資產識別的方法有哪些？ 資產分類：樹狀法。自然形態(tài)分類（勾畫資產樹：管理、技術逐步往下細化）；信息形態(tài)分類（信息環(huán)境、 信息載體、信息） 窄疹探廷紡距弘每雕察藻邱途伐此佯莖圈跌貌侮襪唯然承冰鐳掖濃稱瘁隅XXXX