2023年信息安全管理概論重點(diǎn)

信息安全管理概論重點(diǎn)填空：１’*1０名詞解釋：5’３簡(jiǎn)答:５’*4判斷敘理:5’*5案例分析:１、國(guó)家信息安全管理存在的問(wèn)題宏觀:(１）法律法規(guī)問(wèn)題。健全的信息安全法律法規(guī)體系是保證國(guó)家信息安全的基礎(chǔ),是信息安全的第一道防線.(２）管理問(wèn)題。（涉及三個(gè)層次：組織建設(shè)、制度建設(shè)和人員意識(shí)）(3)國(guó)家信息基礎(chǔ)設(shè)施建設(shè)問(wèn)題。目前，中國(guó)信息基礎(chǔ)設(shè)施幾乎完全是建立在外國(guó)的核心信息技術(shù)之上的,導(dǎo)致我國(guó)在網(wǎng)絡(luò)時(shí)代沒(méi)有制網(wǎng)權(quán).２02３年度經(jīng)濟(jì)人物之首:中國(guó)芯創(chuàng)建者鄧中翰.十五期間,國(guó)家８6３計(jì)劃和科技攻關(guān)的重要項(xiàng)目:信息安全與電子政務(wù),金融信息化兩個(gè)信息安全研究項(xiàng)目.微觀：(1)缺少信息安全意識(shí)與明確的信息安全方針。(2）重視安全技術(shù),輕視安全管理。信息安全大約70%以上的問(wèn)題是由管理因素導(dǎo)致的.(3)安全管理缺少系統(tǒng)管理的思想。2、信息安全概念信息安全是指信息的保密性（Conｆiｄentｉａlｉty)、完整性（Inｔegriｔｙ)和可用性（Ａvaｉlabilitｙ）、真實(shí)性、準(zhǔn)確性的保持。信息保密性：保障信息僅僅為那些被授權(quán)使用的人獲取，它因信息被允許訪問(wèn)對(duì)象的多少而不同.信息完整性：指為保護(hù)信息及其解決方法的準(zhǔn)確性和完整性,一是指信息在運(yùn)用,傳輸,儲(chǔ)存等過(guò)程中不被篡改，丟失,缺損等，此外是指信息解決方法的對(duì)的性.信息可用性：指信息及相關(guān)信息資產(chǎn)在授權(quán)人需要時(shí)可立即獲得．系統(tǒng)硬件,軟件安全,可讀性保障等.3、信息安全重要性a.信息安全是國(guó)家安全的需要國(guó)家軍事安全、政治穩(wěn)定、社會(huì)安定、經(jīng)濟(jì)有序運(yùn)營(yíng)美國(guó)與俄羅斯先后推出<信息系統(tǒng)保護(hù)國(guó)家計(jì)劃>和<國(guó)家信息安全學(xué)說(shuō)>b.信息安全是組織連續(xù)發(fā)展的需要任何組織的正常運(yùn)作都離不開(kāi)信息資源的支持.組織的商業(yè)秘密,系統(tǒng)的正常運(yùn)營(yíng)等,信息安全特性已成為許多組織的服務(wù)質(zhì)量的重要特性之一.c.信息安全是保護(hù)個(gè)人隱私與財(cái)產(chǎn)的需要４、如何擬定組織信息安全的規(guī)定a．法律法規(guī)與協(xié)議規(guī)定ｂ．風(fēng)險(xiǎn)評(píng)估的結(jié)果(保護(hù)限度與控制方式)c.組織的原則、目的與規(guī)定5、傳統(tǒng)信息安全管理模式特點(diǎn)（傳統(tǒng)管理模式的弊端與技術(shù)手段的局限性）傳統(tǒng)管理模式:靜態(tài)的、局部的、少數(shù)人負(fù)責(zé)的、突擊式的、事后糾正式的缺陷：ａ、不能從主線上避免和減少各類風(fēng)險(xiǎn),也不能減少信息安全故障導(dǎo)致的綜合損失ｂ、信息安全技術(shù)是信息安全控制不可或缺的重要手段,但單靠技術(shù)手段實(shí)現(xiàn)安全的能力是有限的,甚至喪失,信息安全來(lái)自:三分技術(shù),七分管理ｃ、信息安全不能迷信技術(shù)，應(yīng)當(dāng)在適宜技術(shù)條件下加強(qiáng)管理.６、系統(tǒng)的信息安全管理原則:（1）制訂信息安全方針原則:制定信息安全方針為信息安全管理提供導(dǎo)向和支持（2)風(fēng)險(xiǎn)評(píng)估原則：控制目的與控制方式的選擇建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)之上(3）費(fèi)用與風(fēng)險(xiǎn)平衡原則：將風(fēng)險(xiǎn)降至組織可接受的水平,費(fèi)用太高不接受（4）防止為主原則：信息安全控制應(yīng)實(shí)行防止為主,做到防患于未然(５)商務(wù)連續(xù)性原則：即信息安全問(wèn)題一旦發(fā)生,我們應(yīng)能從故障與劫難中恢復(fù)商務(wù)運(yùn)作，不至于發(fā)生癱瘓,同時(shí)應(yīng)盡力減少故障與劫難對(duì)關(guān)鍵商務(wù)過(guò)程的影響（6)動(dòng)態(tài)管理原則：即對(duì)風(fēng)險(xiǎn)實(shí)行動(dòng)態(tài)管理（7)全員參與的原則：(８）ＰＤCA原則：遵循管理的一般循環(huán)模式－－Ｐl(wèi)an（策劃)---Ｄo(執(zhí)行)－--Chｅcｋ(檢查）---Actｉoｎ(措施)的連續(xù)改善模式?，F(xiàn)代系統(tǒng)的信息安全管理是動(dòng)態(tài)的、系統(tǒng)的、全員參與的、制度化的、防止為主的信息安全管理方式,用最低的成本,達(dá)成可接受的信息安全水平,從主線上保證業(yè)務(wù)的連續(xù)性,它完全不同于傳統(tǒng)的信息安全管理模式:靜態(tài)的、局部的、少數(shù)人負(fù)責(zé)的、突擊式的、事后糾正式的,不能從主線上避免、減少各類風(fēng)險(xiǎn)，也不能減少信息安全故障導(dǎo)致的綜合損失,商務(wù)也許因此癱瘓,不能連續(xù)。７、風(fēng)險(xiǎn)評(píng)估ａ.威脅(Threａt(yī)),是指也許對(duì)資產(chǎn)或組織導(dǎo)致?lián)p害的事故的潛在因素。如病毒和黑客襲擊，小偷偷盜等.b.薄弱點(diǎn)(Vuｌnｅrａbility)，是指資產(chǎn)或資產(chǎn)組中能被威脅運(yùn)用的弱點(diǎn)。如員工缺少安全意識(shí),口令簡(jiǎn)短易猜,操作系統(tǒng)自身有安全漏洞等.關(guān)系：威脅是運(yùn)用薄弱點(diǎn)而對(duì)資產(chǎn)或組織導(dǎo)致?lián)p害的.如無(wú)懈可擊,有機(jī)可乘.ｃ.風(fēng)險(xiǎn)(Ｒisk),即特定威脅事件發(fā)生的也許性與后果的結(jié)合。特定的威脅運(yùn)用資產(chǎn)的一種或一組薄弱點(diǎn),導(dǎo)致資產(chǎn)的丟失或損害的潛在也許性及其影響大小．經(jīng)濟(jì)代理人面對(duì)的隨機(jī)狀態(tài)可以用某種具體的概率值表達(dá)．這里的風(fēng)險(xiǎn)只表達(dá)結(jié)果的不擬定性及發(fā)生的也許性大小.d．風(fēng)險(xiǎn)評(píng)估(RｉskAssｅｓsｍent),對(duì)信息和信息解決設(shè)施的威脅、影響(Impact)和薄弱點(diǎn)及三者發(fā)生的也許性評(píng)估．它是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過(guò)程,即運(yùn)用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具,擬定資產(chǎn)風(fēng)險(xiǎn)等級(jí)和優(yōu)先控制順序,所以，風(fēng)險(xiǎn)評(píng)估也稱為風(fēng)險(xiǎn)分析.８、風(fēng)險(xiǎn)管理（判斷、填空)風(fēng)險(xiǎn)管理（ＲiｓkManａｇeｍｅｎt），以可接受的費(fèi)用辨認(rèn)、控制、減少或消除也許影響信息系統(tǒng)安全風(fēng)險(xiǎn)的過(guò)程。風(fēng)險(xiǎn)管理過(guò)程結(jié)構(gòu)圖a.安全控制(ＳｅcuritｙCｏｎtｒoｌ)，減少安全風(fēng)險(xiǎn)的慣例、程序或機(jī)制。b．剩余風(fēng)險(xiǎn)（ReｓidｕalRisk),實(shí)行安全控制后,剩余的安全風(fēng)險(xiǎn)。c.合用性聲明(ＡpｐlicabｉｌityStatement）,合用于組織需要的目的和控制的評(píng)述。風(fēng)險(xiǎn)評(píng)估與管理的術(shù)語(yǔ)關(guān)系圖（其實(shí)，安全控制與薄弱點(diǎn)間、安全控制與資產(chǎn)間、安全風(fēng)險(xiǎn)與資產(chǎn)間、威脅與資產(chǎn)間均存在有直接或間接的關(guān)系)(１）資產(chǎn)具有價(jià)值，并會(huì)受到威脅的潛在影響。（2)薄弱點(diǎn)將資產(chǎn)暴露給威脅，威脅運(yùn)用薄弱點(diǎn)對(duì)資產(chǎn)導(dǎo)致影響。（３）威脅與薄弱點(diǎn)的增長(zhǎng)導(dǎo)致安全風(fēng)險(xiǎn)的增長(zhǎng)。（４)安全風(fēng)險(xiǎn)的存在對(duì)組織的信息安全提出規(guī)定（5）安全控制應(yīng)滿足安全規(guī)定。（6)組織通過(guò)實(shí)行安全控制防范威脅,以減少安全風(fēng)險(xiǎn)。９、風(fēng)險(xiǎn)評(píng)估過(guò)程a.風(fēng)險(xiǎn)評(píng)估應(yīng)考慮的因素(1）信息資產(chǎn)及其價(jià)值(2）對(duì)這些資產(chǎn)的威脅，以及他們發(fā)生的也許性(3)薄弱點(diǎn)(４)已有的安全控制措施b.風(fēng)險(xiǎn)評(píng)估的基本環(huán)節(jié)（1）按照組織商務(wù)運(yùn)作流程進(jìn)行信息資產(chǎn)辨認(rèn),并根據(jù)估價(jià)原則對(duì)資產(chǎn)進(jìn)行估價(jià)（２)根據(jù)資產(chǎn)所處的環(huán)境進(jìn)行威脅辨認(rèn)與評(píng)價(jià)(3）相應(yīng)每一威脅,對(duì)資產(chǎn)或組織存在的薄弱點(diǎn)進(jìn)行辨認(rèn)與評(píng)價(jià)（4)對(duì)已采用的安全控制進(jìn)行確認(rèn)(５)建立風(fēng)險(xiǎn)測(cè)量的方法及風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)原則,擬定風(fēng)險(xiǎn)的大小與等級(jí)ｃ.進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，應(yīng)考慮的相應(yīng)關(guān)系風(fēng)險(xiǎn)評(píng)估過(guò)程圖資產(chǎn)、威脅和薄弱點(diǎn)相應(yīng)關(guān)系圖資產(chǎn)、威脅和薄弱點(diǎn)相應(yīng)關(guān)系：1、每一項(xiàng)資產(chǎn)也許存在多個(gè)威脅2、威脅的來(lái)源也許不只一個(gè),應(yīng)從人員(涉及內(nèi)部與外部）、環(huán)境（如自然災(zāi)害)、資產(chǎn)自身(如設(shè)備故障)等方面加以考慮１０、資產(chǎn)辨認(rèn)與評(píng)估組織應(yīng)列出與信息安全有關(guān)的資產(chǎn)清單,對(duì)每一項(xiàng)資產(chǎn)進(jìn)行確認(rèn)和適當(dāng)?shù)脑u(píng)估,資產(chǎn)辨認(rèn)時(shí)常應(yīng)考慮：（1)數(shù)據(jù)與文檔（2)書(shū)面文獻(xiàn)(3)軟件資產(chǎn)（４)實(shí)物資產(chǎn)（5)人員(6）服務(wù)11、信息資產(chǎn)的廣義與狹義理解資產(chǎn)估價(jià)是一個(gè)主觀的過(guò)程,資產(chǎn)價(jià)值不是以資產(chǎn)的賬面價(jià)格來(lái)衡量的,而是指其相對(duì)價(jià)值。在對(duì)資產(chǎn)進(jìn)行估價(jià)時(shí),不僅要考慮資產(chǎn)的賬面價(jià)格，更重要的是要考慮資產(chǎn)對(duì)于組織商務(wù)的重要性,即根據(jù)資產(chǎn)損失所引發(fā)的潛在的商務(wù)影響來(lái)決定。建立一個(gè)資產(chǎn)的價(jià)值尺度（資產(chǎn)評(píng)估標(biāo)準(zhǔn)).一些信息資產(chǎn)的價(jià)值是有時(shí)效性的,如數(shù)據(jù)保密.新產(chǎn)品數(shù)據(jù)在產(chǎn)品面市之前的高度機(jī)密性.采用精確的財(cái)務(wù)方式來(lái)給資產(chǎn)擬定價(jià)值有時(shí)是很困難的,一般采用定性的方式來(lái)建立資產(chǎn)的價(jià)值或重要度，即按照事先擬定的價(jià)值尺度將資產(chǎn)的價(jià)值劃分為不同等級(jí)或說(shuō)對(duì)資產(chǎn)賦值．從而可以擬定需要保護(hù)的關(guān)鍵資產(chǎn)．12、信息資產(chǎn)價(jià)值理解、價(jià)值時(shí)效性13、威脅辨認(rèn)與評(píng)價(jià)威脅發(fā)生的也許性分析:擬定威脅發(fā)生的也許性是風(fēng)險(xiǎn)評(píng)估的重要環(huán)節(jié)，組織應(yīng)根據(jù)經(jīng)驗(yàn)和（或)有關(guān)的記錄數(shù)據(jù)來(lái)判斷威脅發(fā)生的頻率或者威脅發(fā)生的概率。威脅發(fā)生的也許性受下列因素的影響:（１)資產(chǎn)的吸引力，如金融信息、國(guó)防信息等（2）資產(chǎn)轉(zhuǎn)化成報(bào)酬的容易限度(3）威脅的技術(shù)含量(4）薄弱點(diǎn)被運(yùn)用的難易限度威脅發(fā)生的也許性大?。ň唧w根據(jù)需要定，也許取大于1的值,也也許取小于1的值,但肯定不小于0）可以采用分級(jí)賦值的方法予以擬定。如將也許性分為三個(gè)等級(jí)：非常也許=3；大約也許=２;不太也許=1威脅事件發(fā)生的也許性大小與威脅事件發(fā)生的條件是密切相關(guān)的。如消防管理好的部門發(fā)生火災(zāi)的也許性要比消防管理差的部門發(fā)生火災(zāi)的也許性小。因此，具體環(huán)境下某一威脅發(fā)生的也許性應(yīng)考慮具體資產(chǎn)的薄弱點(diǎn)對(duì)這一威脅發(fā)生也許性的社會(huì)均值予以修正。1４、薄弱點(diǎn)評(píng)價(jià)與已有控制措施的確認(rèn)A薄弱點(diǎn)的辨認(rèn)與評(píng)估有關(guān)實(shí)物和環(huán)境安全面的薄弱點(diǎn)薄弱點(diǎn)運(yùn)用薄弱點(diǎn)的威脅對(duì)建筑、房屋和辦公室實(shí)物訪問(wèn)控制故意破壞的不充足或疏忽對(duì)于建筑、門和窗缺少物理保護(hù)盜竊位于易受洪水影響的區(qū)域洪水未被保護(hù)的儲(chǔ)藏庫(kù)盜竊缺少維護(hù)程序或維護(hù)作業(yè)指導(dǎo)維護(hù)錯(cuò)誤缺少定期的設(shè)備更新計(jì)劃存儲(chǔ)媒體的老化設(shè)備缺少必要防護(hù)措施空氣中的顆粒/灰塵設(shè)備對(duì)溫度變化敏感或缺少空調(diào)設(shè)施極端溫度(高溫或低溫)設(shè)備易受電壓變化的影響、不穩(wěn)定的高壓輸電網(wǎng)、缺少供電保護(hù)設(shè)施電壓波動(dòng)可見(jiàn)，威脅也許是人為的、襲擊的，也也許是環(huán)境的、自然的。組織應(yīng)對(duì)每一項(xiàng)需要保護(hù)的信息資產(chǎn),找出每一種威脅所能運(yùn)用的薄弱點(diǎn),并對(duì)薄弱點(diǎn)的嚴(yán)重性進(jìn)行評(píng)價(jià),即對(duì)薄弱點(diǎn)被威脅運(yùn)用的也許性PV進(jìn)行評(píng)價(jià),可以采用分級(jí)賦值的方法(同PT同樣，具體大小根據(jù)需要定,也許取大于1的值,也也許取小于1的值,但肯定不小于0)。如：非常也許＝４;很也許＝3;也許=2;不太也許＝１；不也許＝0B對(duì)已有的安全控制進(jìn)行確認(rèn)威┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅脅保護(hù)措施發(fā)預(yù)生防的風(fēng)險(xiǎn)曲線３措可施能性風(fēng)險(xiǎn)曲線2、薄弱點(diǎn)被風(fēng)險(xiǎn)曲線1利用的程度威脅所產(chǎn)生的潛在影響限度圖２-５控制措施與風(fēng)險(xiǎn)限度關(guān)系圖組織應(yīng)將已采用的控制措施進(jìn)行辨認(rèn)并對(duì)控制措施的有效性進(jìn)行確認(rèn),繼續(xù)保持有效的安全控制，以避免不必要的工作和費(fèi)用，防止控制的反復(fù)實(shí)行。對(duì)于那些確認(rèn)為不適當(dāng)?shù)目刂茟?yīng)當(dāng)檢查是否應(yīng)被取消,或者用更合適的控制代替。此外，應(yīng)當(dāng)注意,在風(fēng)險(xiǎn)評(píng)估之后選擇的安全控制與現(xiàn)有的和計(jì)劃的控制應(yīng)保持一致。安全控制可分為防止性控制措施和保護(hù)性措施（如商務(wù)連續(xù)性計(jì)劃、商業(yè)保險(xiǎn)等），防止性措施可以減少威脅發(fā)生的也許性和減少安全薄弱點(diǎn),而保護(hù)性措施可以減少威脅發(fā)生所導(dǎo)致的影響。1５、風(fēng)險(xiǎn)評(píng)估①風(fēng)險(xiǎn)測(cè)量方法—風(fēng)險(xiǎn)大小和等級(jí)評(píng)價(jià)原則風(fēng)險(xiǎn)是威脅發(fā)生的也許性,薄弱點(diǎn)被威脅運(yùn)用的也許性和威脅的潛在影響的函數(shù):R＝Ｒ(PT,PV,I) 其中:R--－資產(chǎn)受到某一威脅所擁有的風(fēng)險(xiǎn)②風(fēng)險(xiǎn)測(cè)量方法事例：(不知道該如何整理!太多了!!!)16、風(fēng)險(xiǎn)控制過(guò)程風(fēng)險(xiǎn)控制途徑：減少風(fēng)險(xiǎn)途徑①避免風(fēng)險(xiǎn),也稱規(guī)避風(fēng)險(xiǎn)，屬去除威脅②轉(zhuǎn)移風(fēng)險(xiǎn)③減少威脅④減少薄弱點(diǎn)⑤減少威脅也許的影響限度⑥探測(cè)有害事故,對(duì)其做出反映并恢復(fù),屬及時(shí)捕獲威脅1７、風(fēng)險(xiǎn)接受：信息系統(tǒng)絕對(duì)安全(即零風(fēng)險(xiǎn)）是不也許的.組織在實(shí)行選擇的控制后，總?cè)杂袣埩舻娘L(fēng)險(xiǎn),稱之為殘留風(fēng)險(xiǎn)或殘余風(fēng)險(xiǎn)或剩余風(fēng)險(xiǎn)。導(dǎo)致殘余風(fēng)險(xiǎn)的因素:也許是某些資產(chǎn)未被故意識(shí)保護(hù)所致,如假設(shè)的低風(fēng)險(xiǎn);或者被提及的控制需要高費(fèi)用而未采用應(yīng)有的控制殘余風(fēng)險(xiǎn)應(yīng)在可接受的范圍內(nèi)，即應(yīng)滿足:殘余風(fēng)險(xiǎn)Rr=原有風(fēng)險(xiǎn)Rｏ-控制△R殘余風(fēng)險(xiǎn)Rr≤可接受風(fēng)險(xiǎn)Rｔ風(fēng)險(xiǎn)接受就是一個(gè)對(duì)殘余風(fēng)險(xiǎn)進(jìn)行確認(rèn)和評(píng)價(jià)的過(guò)程:按照風(fēng)險(xiǎn)評(píng)估擬定的風(fēng)險(xiǎn)測(cè)量方法對(duì)實(shí)行安全控制后的資產(chǎn)風(fēng)險(xiǎn)進(jìn)行重新計(jì)算,以獲得殘余風(fēng)險(xiǎn)的大小,并將殘余風(fēng)險(xiǎn)分為可接受或不可接受的風(fēng)險(xiǎn).風(fēng)險(xiǎn)是隨時(shí)間而變化的，風(fēng)險(xiǎn)管理應(yīng)是一個(gè)動(dòng)態(tài)的管理過(guò)程，因此組織要?jiǎng)討B(tài)地定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，甚至在以下情況進(jìn)行臨時(shí)評(píng)估，以便及時(shí)辨認(rèn)需要控制的風(fēng)險(xiǎn)并進(jìn)行有效的控制：⑴當(dāng)組織新增信息資產(chǎn)時(shí).⑵當(dāng)系統(tǒng)發(fā)生重大變更時(shí)．⑶發(fā)生嚴(yán)重信息安全事故時(shí).⑷組織認(rèn)為有必要時(shí).１8、基本風(fēng)險(xiǎn)評(píng)估基本的風(fēng)險(xiǎn)評(píng)估是指應(yīng)用直接和簡(jiǎn)易的方法達(dá)成基本的安全水平，就能滿足組織及其商業(yè)環(huán)境的所有規(guī)定。合用范圍：合用于商業(yè)運(yùn)作不是非常復(fù)雜的組織，并且組織對(duì)信息解決和網(wǎng)絡(luò)的依賴限度不高。優(yōu)點(diǎn):（1)風(fēng)險(xiǎn)評(píng)估所需資源最少，簡(jiǎn)便易行（２)同樣或類似的控制能被許多信息安全管理體系所采用，不需要花費(fèi)很大的精力。假如多個(gè)商業(yè)規(guī)定類似，并且在相同的環(huán)境中運(yùn)作，這些控制可以提供一個(gè)經(jīng)濟(jì)有效的解決方案。缺陷：（１）假如安全水平被設(shè)立的太高,就也許需要過(guò)多的費(fèi)用或控制過(guò)度;假如水平太低，對(duì)一些組織來(lái)說(shuō)，也許會(huì)得不到充足的安全。(由于方法是基本的,不細(xì),較粗，因此,評(píng)估結(jié)果也許也較粗,不夠精確，有一定的出入)(2)對(duì)管理相關(guān)的安全進(jìn)行更改也許有困難。如一個(gè)信息安全管理體系被升級(jí)，評(píng)估最初的控制是否仍然充足就有一定的困難。19、具體風(fēng)險(xiǎn)評(píng)估具體的風(fēng)險(xiǎn)評(píng)估是指對(duì)資產(chǎn)的具體辨認(rèn)和估價(jià)，以及那些對(duì)資產(chǎn)形成威脅和相關(guān)薄弱點(diǎn)水平的具體評(píng)估，在此基礎(chǔ)上開(kāi)展風(fēng)險(xiǎn)評(píng)估并隨后被用于安全控制的辨認(rèn)和選擇。優(yōu)點(diǎn):（1) 能獲得一個(gè)更精確的安全風(fēng)險(xiǎn)的結(jié)識(shí),從而更為精確地辨認(rèn)反映組織安全規(guī)定的安全水平。(2)?可以從具體的風(fēng)險(xiǎn)評(píng)估中獲得額外信息,使與組織更改相關(guān)的安全管理受益。缺陷：(1)?需要非常仔細(xì)制訂被評(píng)估的信息系統(tǒng)范圍內(nèi)的商務(wù)環(huán)境、運(yùn)作、信息和資產(chǎn)邊界，需要管理者連續(xù)關(guān)注,因