二、知識(shí)域：信息安全規(guī)劃

閱讀提示 本知識(shí)域包括信息安全風(fēng)險(xiǎn)管理及密碼學(xué)、身份鑒別及訪問(wèn)控制等信息安全支撐技術(shù)相關(guān)知識(shí)。通過(guò)本知識(shí)域的學(xué)習(xí)，學(xué)員了解風(fēng)險(xiǎn)管理相關(guān)概念并掌握風(fēng)險(xiǎn)管理的工作方法，并且掌握密碼學(xué)、身份鑒別、訪問(wèn)控制等信息安全基礎(chǔ)技術(shù)，為信息系統(tǒng)安全體系規(guī)劃及信息安全保障工作提供支撐。

2.1  知識(shí)子域：安全風(fēng)險(xiǎn)管理

風(fēng)險(xiǎn)管理的目的是確保不確定性不會(huì)使企業(yè)的業(yè)務(wù)目標(biāo)發(fā)生變化。風(fēng)險(xiǎn)管理是風(fēng)險(xiǎn)的識(shí)別、評(píng)估和優(yōu)化（IS0 31000定義為不確定性對(duì)目標(biāo)的影響），然后協(xié)調(diào)和經(jīng)濟(jì)地應(yīng)用資源以最小化監(jiān)測(cè)和控制不良事件的可能陛及影響，最大限度地實(shí)現(xiàn)業(yè)務(wù)。

風(fēng)險(xiǎn)所涉及的范圍很廣，從企業(yè)風(fēng)安全險(xiǎn)到財(cái)務(wù)風(fēng)險(xiǎn)、人員風(fēng)險(xiǎn)、運(yùn)營(yíng)風(fēng)險(xiǎn)、IT風(fēng)險(xiǎn)等等， 可以說(shuō)風(fēng)險(xiǎn)無(wú)處不在。不同領(lǐng)域產(chǎn)生的風(fēng)險(xiǎn)問(wèn)題源于多種因素，包括金融市場(chǎng)的不確定

性，項(xiàng)目失敗的威脅（在設(shè)計(jì)、開發(fā)、生產(chǎn)或維護(hù)生命周期的任何階段）、法律責(zé)任、信用風(fēng)險(xiǎn)、事故、自然原因和災(zāi)難、物理攻擊等諸多因素。在理想的風(fēng)險(xiǎn)管理中，通過(guò)采取對(duì)風(fēng)險(xiǎn)進(jìn)行排序，按風(fēng)險(xiǎn)排序順序處理的方法，首先處理?yè)p失（或影響）最大和概率最高的風(fēng)險(xiǎn)，按降序處理降低發(fā)生概率和降低損失的風(fēng)險(xiǎn)。在實(shí)踐中，總體風(fēng)險(xiǎn)評(píng)估的過(guò)程是困難的，平衡資源用于降低那些風(fēng)險(xiǎn)發(fā)生率高并且損失較大的風(fēng)險(xiǎn)與風(fēng)險(xiǎn)高并且發(fā)生概率較低的風(fēng)險(xiǎn)。