CISP总结-风险评价

1、1.风险评估在27号文件中有，风险评估等级与平安等级之间 的关系。通常要比等级保护级低。风险评估与等级保护的 上下可以判断等级保护的超前滞后性。标准在执行过程中 都是弹性的。2 .评估承当单位：涉密：保密局。非密：测评中心、国家信 息技术平安研究中心、公安部信息平安等级保护中心。3 .一次测评工作，提交两个测评报告，即风险评估报告和等 保测评报告4 .识别：平安控制措施、资产、威胁、漏洞。5 .一个简化的风险评估流程：准备(Readiness)、识别(Realization)、计算(Calculation)威胁概率、事件影响、风险定级卜 报告(Report)6 .威胁：威胁源、威胁目标、威胁方

2、式。威胁分为人为和自 然两类7 .风险衡量的方法？威胁的概率、脆弱性的概率、资产识别 的概率。计算时：脆弱性乘两次。即风险值=(资产值*脆弱性)* (脆弱性*威胁)资产*脆弱=资产的损失值脆弱性*威胁=每年发生损失的概率8 .定量分析：制定资产价值。单一预期损失ALE , 136009 .计算题要考。10 .平安投资收益：(实施控制前的ALE)(实施控制后的ALE-平安投资本钱11. GB/T 20274-2006信息系统平安保障评估框架12 . GB/T 20984-2007信息平安风险评估标准13 . GB/T 18336-2001信息技术平安性评估准那么14 .好的风险管理过程具有本钱效

3、益性，遵循PDCA15 .正确的风险管理方法是前瞻性风险管理和风险管理的结合。16 .资产是对组织有价值的东西，重要性等级由资产所有者确 定，存在多种形式。17 .平安风险的可能性是威胁利用脆弱造成后果的可能性。是 两个结合的结果。18 .信息平安风险是一一信息平安风险是指一种特定的威胁利 用一种或一组脆弱性造成组织的资产损失或损害的可能性。19 .风险管理包括四个阶段两个过程20 .风险处置包括减低、转移、躲避、接受风险。21 .?国家网络与信息平安协调小组关于开展信息平安风险评 估工作的意见?国信办20065号，规定了风险评估工作的 的相关要求。22 .信息平安风险工作贯穿信息系统全生命周

4、期。23 .发改高技20212071号文件?关于加强国家电子政务工程 建设工程信息平安风险评估工作的通知?提出了 “信息安全审计24 .风险评估一般由业主单位组织，全面细致，但执行力较差， 检查评估一般由上级单位组织，范围小，粒度粗但有力度。等级保护测评是按照等级保护要求的合规性测评。25 .威胁分为自然和人为威胁。人为分为成心和非成心威胁。26 .平安控制措施：防护性措施、威慑性措施、预警性措施、 检测性措施、应急处理性措施27 .风险值=R(L(T,V),F(la,Va)风险值=R(A,T,V) = R(L(T , V),F(Ia, Va)。其中，R表示平安风险计算函数；A表示 资产；T表

5、示威胁；V表示脆弱性；Ia表示平安事件所作 用的资产价值；Va表示脆弱性严重程度；L表示威胁利用 资产的脆弱性导致平安事件的可能性；F表示平安事件发生后造成的损失。28 .定量分析集中在资产价值和环节的风险，具有本钱效益计 算的特点，但执行难度较大；定性分析以主观为主，实用 性较好，但缺乏本钱分析。29 . ALE=SLE*ARO=A V*EF*ARO30 . GB/Z24364信息平安风险管理指南：四个阶段，两个贯穿建立背景【风险管理准备(确定风险管理对象责任单位、单一业务、系统元素如主机等,组建风险管理团队， 制定风险管理方案，获得支持)、信息系统调查(业务目标， 业务特性，技术特性，管理

6、特性)、信息系统分析()、信息平安分析】、风险评估【风险评估准备、风险要素识别、风险分析、风险结果判定】、风险处理、批准监督；监 控审查、沟通咨询。31 .风险管理贯穿系统全生命周期32 .规划阶段一一明确平安方针、平安需求分析、风险评估准 那么达成一致、平安实现论证分析33 .设计阶段一一设计方案分析论证、平安技术选择、平安产 品选择、自开发软件设计风险处理；实现结构和实施方案34 .实施阶段一一平安测试、检查与配置、人员培训、授权系 统运行35 .废弃阶段确定废弃对象、废弃对象的风险评估、废弃 过程的风险处理、废弃后的评审36 .?国家网络与信息平安协调小组关于开展信息平安风险 评估工作的

7、意见?国信办【2006】5号文信息平安风险 评估工作应当贯穿信息系统全生命周期。37 .发改委要求：风险评估一次测评工作，提交两个测评报告， 即风险评估报告和等保测评报告38 .等保测评、平安检查都是在既定平安基线的根底上开展的 符合性测评，其中等保测评是符合国家平安要求的测评，平安检查是符合行业主管平安要求的符合性测评。而风险 评估是在国家、行业平安要求的根底上，以被评估系统特 定平安要求为目标而开展的风险识别、风险分析、风险评价活动。39 .威胁三问 “敌人在哪儿？效果如何？如何取证？40 .脆弱性三性三性：隐蔽性、欺骗性、复杂性41 .资产的三性一一保密性，完整性，可用性42 .平安管理

8、保障三要素一一技术、管理、工程43 .风险评估根本要素一一威胁、脆弱性、资产44 . IATF个核心要素一一人、技术、操作45 .个人计算机犯罪的三个条件一一技术、动机、工具或手段46 .种鉴别方式-你知道的what you口令；你有什么what you have智能卡；你是什么what you are特征。47 .应急响应措施一一人力、物质、技术48 .安息平安分级要素一一信息重要程度、系统损失、社会影响49 .等保分级要素一一重要程度、危害程度50 .平安控制措施一一预防、检查、纠正法律法规1.?国家信息化领导小组关于加强信息平安保障工作的意见? 中办发200327号2 .主要任务重点加强

9、的平安保障工作实行信息平安等级保护加强以密码技术为根底的信息保护和网络信任体系建设建设和完善信息平安监控体系重视信息平安应急处理工作加强信息平安技术研究开发，推进信息平安产业开展加强信息平安法制建设和标准化建设加快信息平安人才培养，增强全民信息平安意识保证信息平安资金加强对信息平安保障工作的领导，建立健全信息平安管理责任制3 .关于加强政府信息系统平安和保密管理工作的通知国办发202117号：谁主管谁负责、谁运行谁负责、谁使用谁负责等保要求，谁运营谁负责4 .平安事件：4级，7类5 .关于加强国家电子政务工程建设工程信息平安风险评估工作 的通知发改高技20212071号：涉密系统“分级保护； 非涉密系统“等级保护o6 . GB强制性国家标准；GB/T推荐性国家标准；GB/Z国家标 准化指导性技术文件7 .国标委高新函20041号文决定，自2004年1月起，各有关部门在申报信息平安国家标准方案工程时，必须经信息平安标委会提出工作意见，协调一致后由信息平安标委会组织中报；在国家标准制定过程中，标准工作组或主要起草单位要与信息平安标委会积极合作，并由信息平安标委会完成国家