(网络安全)21、CISSP学习笔录_安全与风险管理_风险管理、分析、控制

1、风险管理计划

备注:需要找到合适的定量分析软件和威胁建模软件

2、风险术语

    • 资产,可以是环境中需要保护的任何事物包括业务流程或任务中用到的所有资源
    • 资产估值,根据实际成本和非货币性支出给资产指定的货币价值,包括开发、维护、管理、宣传、支持、维修和替换资产的成本,还包括许多难以估算的价值,安全技术措施比如公众信心、行业支持、生产效率提升、知识产品
    • 威胁,任何可能安全技术说明书发生的、对组织或特定资产造成不良网络安全工程师或非预期结果的潜在事件都是威胁
    • 脆弱性,防护措施或控制措施的弱电
    • 暴露,指脆弱性会被威胁主体或威胁事件加以利用的可能性是存在的
    • 风险,是威胁利用脆弱性对资产造成损害的概率,如果用公式风险=威胁*脆弱性
    • 防护措施,指任何能够消除或减少脆弱性的办法
    • 攻击,威胁主体对脆弱性的利用
    • 破坏,安全机制被威胁主体绕过或阻止

      3、风险管理流程

        • 风险框架(定义风险活动发生的背景信息系统与信息管理
        • 风险评估
        • 风险响应
        • 风险监测

        4风险管理主要包括哪些步骤、风险管理团队

        团队的总体目标在于以性价比最高的方式确保公司安全技术与管理专业就业方向安全,这一目标只有通过以下作才能实现

        • 由高级管理层提供明确的风险接受水平
        • 文档化的风险评估流程与程序
        • 识别和缓解风险的程序
        • 由高级管理层分配的充足资源与资金
        • 风险管理的三道防线所有与信息资产有关的员工进行安全意识宣贯教育
        • 如有必要成立特殊领域的改进(或风险缓解)团队
        • 将对法律法规的合规要求转化为控制和实施的具体需求
        • 网络/安全发衡量标准和绩效指标,以衡量和管理各类风险
        • 能随环境和公司变化识别和评估(Assess)新风险
        • 集成信息系统风险管理与组织的变更控制流程,保证这些变更不会形成新漏洞

        5、风险管理类别

        
                                            (网络安全)21、CISSP学习笔录_安全与风险管理_风险管理、分析、控制

        6、风险分析目标

        
                                            (网络安全)21、CISSP学习笔录_安全与风险管理_风险管理、分析、控制

        
                                            (网络安全)21、CISSP学习笔录_安全与风险管理_风险管理、分析、控制
                                            (网络安全)21、CISSP学习笔录_安全与风险管理_风险管理、分析、控制

        7、风险响应

        
                                            (网络安全)21、CISSP学习笔录_安全与风险管理_风险管理、分析、控制

        
                                            (网络安全)21、CISSP学习笔录_安全与风险管理_风险管理、分析、控制