（网络安全）CISSP学习笔录_安全与风险管理_风险管理、分析、控制（网络安全培训笔记）

（网络安全）CISSP学习笔录_安全与风险管理_风险管理、分析、控制（网络安全培训笔记）

1、风险管理计划

备注：需要找到合适的定量分析软件和威胁建模软件

2、风险术语

资产，可以是环境中需要保护的任何事物包括业务流程或任务中用到的所有资源资产估值，根据实际成本和非货币性支出给资产指定的货币价值，包括开发、维护、管理、宣传、支持、维修和替换资产的成本，还包括许多难以估算的价值，比如公众信心、行业支持、生产效率提升、知识产品威胁，任何可能发生的、对组织或特定资产造成不良或非预期结果的潜在事件都是威胁脆弱性，防护措施或控制措施的弱电暴露，指脆弱性会被威胁主体或威胁事件加以利用的可能性是存在的风险，是威胁利用脆弱性对资产造成损害的概率，如果用公式风险=威胁*脆弱性防护措施，指任何能够消除或减少脆弱性的办法攻击，威胁主体对脆弱性的利用破坏，安全机制被威胁主体绕过或阻止

3、风险管理流程

风险框架（定义风险活动发生的背景）风险评估风险响应风险监测

4、风险管理团队

团队的总体目标在于以性价比最高的方式确保公司安全，这一目标只有通过以下作才能实现

由高级管理层提供明确的风险接受水平文档化的风险评估流程与程序识别和缓解风险的程序由高级管理层分配的充足资源与资金对所有与信息资产有关的员工进行安全意识宣贯教育如有必要成立特殊领域的改进（或风险缓解）团队将对法律法规的合规要求转化为控制和实施的具体需求开发衡量标准和绩效指标，以衡量和管理各类风险能随环境和公司变化识别和评估（Assess）新风险集成信息系统风险管理与组织的变更控制流程，保证这些变更不会形成新漏洞

5、风险管理类别

6、风险分析目标

7、风险响应

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。