CISSP第二章 信息安全治理与风险管理

信息安全治理与风险管理

  • 主要内容
    • 2.1 安全基本原则
      • 2.1.1 可用性availability
      • 2.1.2 完整性integrity
      • 2.1.3 机密性confidentiality
    • 2.2 安全定义
    • 2.3 控制类型
    • 2.4 安全框架
      • 2.4.1 ISO/IEC 27000系列
      • 2.4.2 企业架构开发
      • 2.4.3 安全控制开发
      • 2.4.4 COSO
      • 2.4.5 流程管理开发
      • 2.4.6 功能与安全性
    • 2.5安全管理
    • 2.6 风险管理
      • 2.6.1 谁真正了解风险管理
      • 2.6.2 信息风险管理策略
      • 2.6.3 风险管理团队
    • 2.7 风险评估和分析
      • 2.7.1 风险分析团队
      • 2.7.2 信息和资产的价值
      • 2.7.3 构成价值的成本
      • 2.7.4 识别脆弱性和威胁
      • 2.7.5 风险评估方法
      • 2.7.6 风险分析方法
      • 2.7.7 定性风险分析
      • 2.7.8 保护机制
      • 2.7.9 综合考虑
      • 2.7.10 总风险和剩余风险
      • 2.7.11 处理风险
      • 2.7.12 外包
    • 2.8 策略、标准、基准、指南和过程
      • 2.8.1 安全策略
      • 2.8.2 标准
      • 2.8.3 基准
      • 2.8.4 指南
      • 2.8.5 措施
      • 2.8.6 实施
    • 2.9 信息分类
      • 2.9.1 分类级别
      • 2.9.2 分类控制
    • 2.10 责任分层
      • 2.10.1 董事会
      • 2.10.2 执行管理层
      • 2.10.3 CIO 首席信息官
      • 2.10.4 CPO 首席隐私官
      • 2.10.5 CSO 首席安全官
    • 2.11 安全指导委员会
      • 2.11.1 审计委员会
      • 2.11.2 数据所有者
      • 2.11.3 数据看管员
      • 2.11.4 系统所有者
      • 2.11.5 安全管理员
      • 2.11.6 安全分析员
      • 2.11.7 应用程序所有者
      • 2.11.8 监督员
      • 2.11.9 变更控制分析员
      • 2.11.10 数据分析员
      • 2.11.11 过程所有者
      • 2.11.12 解决方案提供商
      • 2.11.13 用户
      • 2.11.14 生产线经理
      • 2.11.15 审计员
      • 2.11.16 为何需要这么多角色
      • 2.11.17 人员安全
      • 2.11.18 招聘实践
      • 2.11.19 解雇
      • 2.11.20 安全意识培训
      • 2.11.21 学位或证书
    • 2.12 安全治理
    • 2.13 小结

主要内容

安全术语和原则,保护控制类型,安全框架、模型、标准和最佳时间,安全企业架构,风险管理,安全文档,信息分类和保护,安全意识培训,安全治理

2.1 安全基本原则

AIC三元组:可用性,完整性,机密性
CISSP第二章 信息安全治理与风险管理_第1张图片

2.1.1 可用性availability

  • 确保授权的用户能够对数据和资源进行及时和可靠的访问
  • 控制措施:廉价磁盘冗余阵列RAID,群集,负载均衡,冗余数据和电源线,软件和数据备份,磁盘映像,co-location和异地备用设备,回滚功能,故障切换配置

2.1.2 完整性integrity

  • 保证信息和系统的准确性和可靠性,并禁止对数据的非授权更改
  • 控制措施:散列(数据完整性),配置管理(系统完整性),变更控制(进程完整性),访问控制(物理和技术的),软件数字签名,传输CRC功能

2.1.3 机密性confidentiality

  • 确保在数据处理的每一个交叉点上都实施了必要级别的安全保护并阻止未经授权的信息披露
  • 控制措施:加密休息中的数据(整个磁盘,数据库加密),加密传输中的数据(IPSec,SSL,PPTP,SSH),访问控制(物理和技术的)
  • 肩窥shoulder surfing:越过别人的肩膀未授权浏览信息
  • 社会工程social engineering:欺骗他人共享敏感信息以获取未经授权的访问

2.2 安全定义

脆弱性,威胁,风险,暴露

  • 脆弱性vulnerability:缺少安全措施或者采用的安全措施有缺陷。如未安装补丁的应用程序,没有限制的无线访问点
  • 威胁threat:利用脆弱性而带来的潜在危险。某人或某个软件识别出脆

你可能感兴趣的:(CISSP)