|
|
知识路径: > 信息安全知识 > 安全分析 >
|
|
考试要求:掌握
相关知识点:2个
|
|
|
|
|
对风险进行了识别和评估后,可通过降低风险(例如安装防护措施)、避免风险、转嫁风险(例如买保险)、接受风险(基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据自身特点来制定安全策略。
|
|
|
|
制定安全策略时,首先要识别当前的安全机制并评估它们的有效性。由于所面临的威胁不仅仅是病毒和攻击,对于每一种威胁类型要分别对待。在采取防护措施的时候要如下一些方面:产品费用、设计/计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作/支持费用。
|
|
|
|
控制风险的方法是:①对动作进行优先级排序,风险高的优先考虑;②评价风险评估过程中的建议,分析建议的可行性和有效性;③实施成本/收益分析;④结合技术、操作和管理类的控制元素,选择性价比最好的安全控制;⑤责任分配;⑥制定一套安全措施实现计划;⑦实现选择的安全控制。
|
|
|
