2026-04-16 05:27:29 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文系统梳理CISSP考试风险管理核心知识点，涵盖风险定义、NIST三层风险管理框架、10个关键术语（含风险=资产×威胁×脆弱性公式）、ISRM策略与团队职责、NISTSP800-37六步风险管理流程。强调考点关联性及易混淆点区分，提供备考记忆技巧与实操建议，助力考生高效掌握高频简答及选择题型。 综合评分： 85 文章分类： 安全培训,技术标准,安全建设,政策法规,安全意识

cover_image

CISSP 重点知识点合集｜D1安全风险管理（单元二）2.1 风险和风险管理

原创

耶度耶度

野猪与安全

2026年4月14日 08:46 广东

在小说阅读器读本章

去阅读

点击蓝字

关注我们

哈喽～备考 CISSP 的小伙伴看过来✅ 全新独立篇章上线！

今天聚焦单元二核心内容——2.1 风险和风险管理，全程干货无冗余，搭配考点标注、通俗解读和记忆重点，帮你快速吃透高频考点、理清逻辑，高效备考不绕路！

作为 CISSP 安全和风险管理模块的核心章节，本考点占比高、知识点细碎，建议收藏

🌟 持续更新全模块干货，陪你稳步解锁 CISSP 考点，顺利上岸！

安全和风险管理：风险和风险管理

单元二

✅ 2.1 核心考点：风险定义、相关术语、管理流程及框架（高频选择+简答题）

📝 考点 A：风险概述（基础必记，易考定义+分层）

风险是 CISSP 考试的核心基础概念，重点掌握定义和 NIST SP 800-39 定义的三层风险管理，记准分层重点👇

▸ 核心定义：

在信息安全领域，风险（Risk）是指信息资产遭受损坏，并给企业带来负面影响的潜在可能性。

▸ 三层风险管理（源自 NIST SP 800-39，必考，记准各层重点）：

🏢 组织层面：

聚焦整个业务的风险，搭建风险管理整体框架，设定核心参数（如风险容忍度），为后续风险管理提供基础。

🔄 业务流程层面：

针对组织核心功能的风险，比如定义组织与合作伙伴、客户之间信息流的关键性，明确业务流程中的风险点。

💻 信息系统层面：

从信息系统视角解决风险（本章节重点讨论），需依托组织层面、业务流程层面的风险管理要求，不可孤立存在。

💡 考点提示：

考试常考“三层风险管理的从属关系”，记住「信息系统层面需符合组织、业务流程层面要求」，避免混淆各层职责。

CISSP

🔥 考点 B：风险相关术语（重中之重，必考区分+公式）

风险相关术语是考试高频考点，10 个核心术语需逐个掌握，重点区分易混淆概念，熟记风险计算公式👇

📦 资产（Asset）：

环境中所有需要加以保护的事物（例：数据、硬件、软件、人员等）。

💰 资产估值（Asset Valuation）：

根据资产的实际成本、非货币性支出，为资产分配的货币价值（用于后续风险评估）。

⚠️ 威胁（Threat）：

任何可能发生、给组织或特定资产带来不希望出现的结果的潜在因素（例：黑客攻击、设备故障）。

🔓 脆弱性（Vulnerability）：

IT 基础设施或组织其他方面的缺陷、漏洞、疏忽等（例：系统未打补丁、员工安全意识薄弱），是威胁可利用的弱点。

📤 暴露（Exposure）：

因威胁存在，导致资产容易遭受损失的状态（即资产处于“可被威胁利用”的状态）。

📊 风险（Risk）：

威胁利用脆弱性，导致资产损害的可能性（核心公式：风险= 资产 × 威胁 × 脆弱性，必考！）。

🛡️ 防护措施/对策（Safeguard）：

可消除脆弱性，或应对一种/多种特定威胁的方法（例：防火墙、加密技术、安全培训）。

⚔️ 攻击（Attack）：

威胁主体对脆弱性的主动利用，是有意破坏资产、违反安全策略的行为（例：SQL 注入、暴力破解）。

🚨 破坏（Breach）：

安全机制被威胁主体绕过或阻挠的事件（即安全防线被突破）。

� 侵入渗透（Penetration）：

威胁主体避开安全控制，获得组织基础架构访问权，并能直接危及资产安全的情况（比“破坏”更具危害性）。

💡 记忆技巧：

可结合“威胁（潜在危害）→ 脆弱性（可利用弱点）→ 攻击（主动利用）→ 破坏/渗透（造成危害）”的逻辑串联记忆，避免混淆。

CISSP

📚 考点 C：风险管理概述及重要性（易考简答题）

风险管理是信息安全的核心流程，重点掌握定义、核心目的和核心要求，贴合考试答题要点👇

▸ 核心定义：

风险管理是一个系统性过程，核心包括 3 个环节——识别可能导致数据损坏/泄漏的因素、结合资产价值与对策成本评估这些因素、实施成本效益合理的解决方案。

▸ 核心目的：

将组织面临的风险，降低到可接受的级别，支撑组织使命落地。

▸核心要求：

全面了解组织及面临的威胁，明确应对措施，持续监控风险级别，确保风险始终处于可接受范围；同时，风险管理过程是制定、实施信息安全策略的核心依据。

CISSP

👥 考点 D：风险管理策略、团队及职责（高频考点，记准职责范围）

重点掌握 ISRM 策略内容、ISRM 团队构成及核心职责，区分“策略内容”与“团队职责”，避免混淆👇

▸ 信息安全风险管理（ISRM）策略核心内容

为风险管理提供基础和方向，核心包含 10 点（记准关键词，易考多选题）：

ISRM 团队的目标
公司可接受的风险级别及其定义
风险识别的形式化过程
与组织战略规划的关联
ISRM 职责及对应角色
风险与内部控制的映射关系
员工行为及资源分配的调整方法
风险与业绩目标、预算的映射关系
监控控制效率的主要指标
指导风险通报及风险缓解任务执行

▸ ISRM 团队构成及核心职责

• 团队构成：

通常非专职风险管理员工组成，可由 1 人负责或组建协同团队。

• 总体目标：

以最低预算，确保公司信息安全，管控各类风险。

• 核心职责（重点记，易考简答题）：

✅ 制定高级管理层支持的明确风险接受级别

✅ 记录风险评估的过程与具体措施

✅ 识别并实施风险缓解措施

✅ 合理使用管理层分配的资源与资金

✅ 开展全员信息资产安全意识培训

✅ 必要时组建专项风险缓解改进团队

✅ 制定法律法规遵从计划并落地执行

✅ 开发风险衡量标准和业绩指标

✅ 随组织及环境变化，动态识别、评估风险

✅ 集成 ISRM 与变更控制，避免新增脆弱性

CISSP

📋 考点 E：风险管理框架及步骤（必考流程，记准顺序+细节）

风险管理框架是风险管理的核心指导，重点掌握 NIST SP 800-37 定义的 6 个步骤（记准顺序）和框架特点👇

▸ 风险管理框架 6 大步骤（源自NIST SP 800-37，必考顺序+核心动作）

📥 分类：

对信息系统，以及系统处理、存储、传输的信息，结合影响分析进行分类。

🔍 选择：

基于安全分类，选择安全控制初始基线集；结合组织风险和实际情况，调整、补充基线。

🚀 实施：

落地安全控制，并明确控制在信息系统、操作环境中的部署方式。

📊 评估：

采用合理评估步骤，验证安全控制是否正确实施、按计划运行，是否达到预期安全效果。

✅ 授权：

基于组织操作、信息系统相关的各类风险评估，授权系统运行，确认风险处于可接受级别。

🔄 监控：

持续监控安全控制有效性，记录系统及操作环境变化，开展安全影响分析，及时上报系统安全状态。

▸ 风险管理框架核心特点（易考多选题）

✅ 强化持续监管，推动实时风险管理和不间断信息系统授权。

✅ 鼓励自动化操作，为高层提供风险相关决策依据，支撑核心业务。

✅ 整合信息安全与公司系统结构、系统开发生命周期（SDLC）。

✅ 重点强调安全控制的选择、实施、评估、监管及系统授权。

✅ 联动信息系统层面与组织层面的风险管理过程，形成闭环。

备考小贴士

CISSP

本章节核心考点：

风险的定义及三层风险管理；10 个风险相关术语（重点记风险公式）；风险管理的定义及目的；ISRM 策略内容与团队职责；风险管理框架 6 大步骤（记准顺序）及特点。

建议重点突破“易混淆点”（如威胁 vs 脆弱性、破坏 vs 渗透），熟记风险管理框架 6 步骤的顺序和核心动作，这是简答题高频考点，后续会结合真题例题帮大家巩固应用！

✨ 关注我，持续更新 CISSP 全模块重点知识点，每一篇都是纯干货，备考不迷路！

留言区可打卡学习，说说你 2.1 考点掌握得怎么样啦👇

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：野猪与安全耶度耶度《CISSP 重点知识点合集｜D1安全风险管理（单元二）2.1 风险和风险管理》