个人学习总结，CISAW学习笔记之风险管理基本概念：

个人学习总结，CISAW学习笔记之认证体系介绍：

说明：“考点拾遗”系列基于日常为学员和网友做的答疑整理，主要涉及教材中没有完全覆盖到的知识点。 信息安全是一个动态过程，机构必须对信息安全进行有效和主动的管理，以识别和应对新的漏洞、不断演变的威胁以及不断变化的企业架构和运营环境。 上面这句话天经地义吧，不接受反驳了哈 实施信息安全持续监测(ISCM)就是为了保持对信息安全状态、漏洞（脆弱性）和威胁的持续了解，以支持机构风险管理决策。 持续监测是风险管理的重要组成部分，在信息安全管理体系的PDCA循环中属于“C”--check，建立、实施和维护ISCM的步骤如下（依据NISTSP800-137）： 第一步：定义ISCM战略 基于风险承受...