信息系统管理工程师教程整理版全新考试2018年(11)

2风险管理：指识别、评估、降低风险到可以接受的程度，并实施适当机制控制风险保持在此程度之内的过程。 9.7.1 识别和评估风险

1有形资产可以通过资产的价值进行分类，如机密级、内部访问级、共享级、未保密级。 2考虑信息安全时，必须重视的7种风险：①物理破坏、②人为错误、③设备故障、④内外部攻击、⑤数据误用、⑥数据丢失、⑦程序错误、⑧网络本身的诸多特性（共享性、开放性、复杂性）、⑨网络信息系统自身的脆弱性（操作系统的漏洞、网络协议的缺陷、通信线路的不稳定、人为因素）。

3风险分析的方法与途径可分为：①定量分析和②定性分析。

4定性分析通过列出各种威胁的清单，对威胁的严重程度及资产的敏感程度进行分级，是被广泛采用的方法。

5定性分析技术包括：判断、直觉和经验。

6风险小组应由企业中不同部门的人员组成，可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员。 9.7.2 控制风险

1风险管理方式：①降低风险、②避免风险、③转嫁风险、④接受风险。

2在采取防护措施时，要考虑9个方面：①产品费用、②设计计划费用、③实施费用、④环境的改变、⑤与其他防护措施的兼容性、⑥维护需求、⑦测试需求、⑧修复替换更

35 / 122