CISSP 1.4 常见的安全框架

一，基础概念 

安全框架由逻辑，管理，物理的保护机制，程序，业务过程和人构成，每个实体都在框架中发挥自己的作用，不可或缺。同时通过分层实现，每一层为上层提供支撑，同时为下层提供防护，共同形成一个框架。

1.1如何证明一个企业是拥有安全框架的?? 16个问题

1.2企业安全架构的要点：战略一致性，过程强化，促进业务和安全有效性。

二，安全框架详解

2.1 ISO / IEC 27001概括出了ISMS信息安全管理体系

 

NIST企业架构框架

Zachman的架构框架 

TOGAF

 面向军事的架构框架DdGAF（美国）MODAF（英国）

SABSA舍伍德商业应用安全框架 

三，安全控制开发

当我们理解了企业安全的战略框架，经过思考后，关注下一步要落实到位的额控制目标。

3.1 COBIT审计

3.2 NIST SP 800-53美国国家标准与技术研究所，“针对联邦信息系统和组织的安全性和隐私控制”

3.3 COSO内部控制 - 综合框架

17个内部控制原则，归纳为五套控制组件。

 

4.流程管理开发

。确保部署了适当的控制后，还希望能以机构化，可控的方式来构建和完善业务常见的过程工具有：

4.1 ITIL 

4.2六西格玛TQM

 

4.3能力成熟度模型CMMI

由卡耐基梅隆实验室为美国国防部开发，以此作为确定组织流程成熟度的一种方式。

CMMI的关键是开发出可以遵循的结构化步骤，依据它，组织可以从一个层次到达另一个层次，并不断改进流程和安全态势。

 

5安全规划的5个步骤及主要组件。

1，计划和组织→2，实现→3，操作与维护→4监控和评估

1）计划和组织

• 建立管理承诺
• 建立监督指导委员会
• 评估业务驱动
• 开发组织的威胁配置文件
• 进行风险评估
• 在业务，数据，应用程序和基础设施层面开发安全框架
• 确定每个架构层面的解决方案
• 获得管理层的批准后向前开发。

2）实施

• 分配角色及职责
• 开发和实现安全策略，措施，标准，极限和指南
• 识别静态和传输中的敏感数据
• 实现以下蓝图：
• 资产识别和管理
• 风险管理
• 脆弱性管理
• 合规
• 身份管理和访问控制
• 变更控制
• 软件开发生命周期
• 业务连续性计划
• 意识教育和培训
• 物理安全性
• 时间详情
• 每个蓝图的是按解决方案（管理，技术，物理）
• 为每个蓝图开发审计和监控解决方案
• 为每个蓝图建立目标，服务水平（SLA）和度量指标

3）运营与维护

• 遵循程序，以确保在每个已实现的蓝图中满足所有基线
• 进行内部和外部审计
• 执行每个蓝图所述的计划
• 管理每个蓝图的服务水平协议（SLA）

4）监控与评估

• 审查日志，审计结果，收集的度量值和每个蓝图的服务水平协议（SLA），评估每个蓝图的完成情况
• 每季度与指导委员会开会
• 指定改进步骤，并融入计划和组织阶段

关于蓝图，蓝图需要列出安全解决方案，过程和组件，供组织用于满足自身的安全和业务需求。