二、知識域：信息安全規劃

閱讀提示 本知識域包括信息安全風險管理及密碼學、身份鑒別及訪問控制等信息安全支撐技術相關知識。通過本知識域的學習，學員了解風險管理相關概念并掌握風險管理的工作方法，并且掌握密碼學、身份鑒別、訪問控制等信息安全基礎技術，為信息系統安全體系規劃及信息安全保障工作提供支撐。

2.1  知識子域：安全風險管理

風險管理的目的是確保不確定性不會使企業的業務目標發生變化。風險管理是風險的識別、評估和優化（IS0 31000定義為不確定性對目標的影響），然后協調和經濟地應用資源以最小化監測和控制不良事件的可能陛及影響，最大限度地實現業務。

風險所涉及的范圍很廣，從企業風安全險到財務風險、人員風險、運營風險、IT風險等等， 可以說風險無處不在。不同領域產生的風險問題源于多種因素，包括金融市場的不確定

性，項目失敗的威脅（在設計、開發、生產或維護生命周期的任何階段）、法律責任、信用風險、事故、自然原因和災難、物理攻擊等諸多因素。在理想的風險管理中，通過采取對風險進行排序，按風險排序順序處理的方法，首先處理損失（或影響）最大和概率最高的風險，按降序處理降低發生概率和降低損失的風險。在實踐中，總體風險評估的過程是困難的，平衡資源用于降低那些風險發生率高并且損失較大的風險與風險高并且發生概率較低的風險。