4897人加入学习
(5人评价)
该课程属于 CISP培训预习专题 请加入后再学习
24264《信息安全风险管理指南》
过程文档化
背景建立
风险评估
风险处理:将风险控制在可接受的范围内
处理方式:降低(漏洞)、规避(代替)、转移(外包)、接受风险
批准:机构决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求,作出是否认可风险管理活动的决定
监督:检查机构及其信息系统以及信息安全相关的环境有无变化,监督变化因素是否有可能引入新风险
贯穿全过程:沟通咨询、监控审查
监督审查的内容
a、审查过程有效性
1、过程是否完整和有效的被执行
2、输出文档是否齐全和内容完备
b、审查成本有效性:执行成本与所得效果相比是否合理
c、审查结果有效性
1、输出结果是否符合信息系统的安全要求
2、输出结果是否因信息系统自身或环境的变化而过时
