CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標準法規(guī)五個知識類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

第三章：知識域：信息安全管理

3.2 知識子域：信息安全風險管理

3.2.3安全風險管理基本過程

四個階段：背景建立、風險評估、風險處理、批準監(jiān)督

兩個貫穿：監(jiān)控檢查、溝通咨詢

1.背景建立

確定風險管理的對象和范圍，確立實施風險管理的準備，進行相關(guān)信息的調(diào)查和分析

背景建立的過程包括風險管理準備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析4個階段

2.風險評估

確定信息資產(chǎn)的價值、識別適用的威脅和脆弱點、識別現(xiàn)有控制措施及其對已識別風險的影響，確定潛在后果，對風險進行最終的優(yōu)先級排序，并按照風險范疇中設(shè)定的風險評價準則進行排名

風險評估的過程包括風險評估準備、風險要素識別、風險分析和風險結(jié)果判定4個階段

本階段的最終輸出《風險評估報告》

3.風險處理

風險處理的目的是為了將風險始終控制在可接受的范圍內(nèi)

風險處理的方式主要有降低、規(guī)避、轉(zhuǎn)移和接受4種方式

降低方式：對面臨風險的資產(chǎn)采取保護措施來降低風險，比如采用法律的手段；采取身份認證措施；及時給系統(tǒng)打補丁，關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口；采用各種防護措施；采取容災(zāi)備份、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)計劃等措施

規(guī)避方式：當風險不能被降低時，通過不使用面臨風險的資產(chǎn)來避免風險

轉(zhuǎn)移方式：只有在風險既不能被降低，又不能被規(guī)避時，通過將面臨風險的資產(chǎn)或其價值轉(zhuǎn)移到更安全的地方來避免或降低風險，比如外包給滿足安全保障要求的第三方機構(gòu)；上保險

接受方式：選擇對風險不采取進一步的處理措施，接受風險可能帶來的結(jié)果

風險處理的發(fā)過程包括現(xiàn)存風險判斷、處理目標確立、處理措施選擇和處理措施實施4個階段

形成《風險處理實施記錄》

4.批準監(jiān)督

批準監(jiān)督包括批準和持續(xù)監(jiān)督兩部分

批準，決策層做出是否認可風險管理活動的決定

批準通過的依據(jù)有兩個：一是信息系統(tǒng)的殘余風險是可接受的；二是安全措施能夠滿足信息系統(tǒng)當前業(yè)務(wù)的安全需求

5.監(jiān)控審查

監(jiān)控，是監(jiān)視和控制

審查時跟蹤受保護系統(tǒng)自身或所處環(huán)境的變化，以保證結(jié)果的有效性和符合性

監(jiān)控審查包括3方面：監(jiān)控過程有效性、監(jiān)控成本有效性、審查結(jié)果有效性和符合性

6.溝通咨詢