|
|
知识路径: > 嵌入式系统的安全性知识 > 安全性基本概念 > 网络安全、信息安全、系统安全等基础知识 > 风险管理 >
|
|
考试要求:了解
相关知识点:3个
|
|
|
|
|
依据风险评估结果,针对风险分析阶段输出的风险评估报告进行风险处置。风险处置方式一般包括接受、消减、转移、规避等。安全整改是风险处置中常用的风险消减方法。风险评估需提出安全整改建议。
|
|
|
|
安全整改建议需根据安全风险的严重程度、加固措施实施的难易程度、降低风险的时间紧迫程度、所投入的人员力量及资金成本等因素综合考虑。
|
|
|
|
(1)对于非常严重、需立即降低且加固措施易于实施的安全风险,建议被评估组织立即采取安全整改措施。
|
|
|
|
(2)对于非常严重、需立即降低,但加固措施不便于实施的安全风险,建议被评估组织立即制定安全整改实施方案,尽快实施安全整改;整改前应对相关安全隐患进行严密监控,并作好应急预案。
|
|
|
|
(3)对于比较严重、需降低且加固措施不易于实施的安全风险,建议被评估组织制定限期实施的整改方案;整改前应对相关安全隐患进行监控。
|
|
|
|
在风险整改建议提出之后,紧接着组织召开的评审会是评估活动结束的重要标志。评审会应由被评估组织组织,评估机构协助。评审会参与人员一般包括:被评估组织、评估机构及专家等。
|
|
|
|
被评估组织包括:单位信息安全主管领导、相关业务部门主管人员、信息技术部门主管人员、参与评估活动的主要人员等;
|
|
|
|
最后,需在评审会中有专门记录人员负责对各位专家发表意见进行记录。评审会成果是会议评审意见。评审意见包括:针对评估项目的实施流程、风险分析的模型与计算方法、评估的结论及评估活动产生的各类文档等内容提出意见。评审意见对于被评估组织是否接受评估结果,具有重要的参考意义。
|
|
|
|
依据评审意见,评估机构应对相关报告进行完善、补充和修改,并将最终修订材料一并提交被评估组织,作为评估项目结束的移交文档。
|
|
|
