• 在2018年4月公布的CISSP考试大纲中,【安全与风险管理】部分的平均权重为15%。其中使用的AIO为第7版,OSG为第8版。 权重是8大部分中最大的.
  • 安全和风险管理知识域包含了许多基本的信息安全概念、原则以及信息安全管理相关活动和方法。该知识域涵盖了在企业信息安全中相关的基本概念和原则,包括:机密性、完整性和可用性等;还涵盖了信息安全治理的主要概念和方法,包括安全治理的概念、企业中安全相关的组织角色和责任、安全管理计划编制以及安全策略结构;信息安全专业人员需要参与到相关的安全管理活动中,主要包括制定和实施相关的策略来支持风险管理活动,最终符合法律、法规等要求,以及在出现不可预见的灾难情况下确保企业业务的连续运营。

1.1 理解和运用保密性、完整性和可用性(CIA)的概念

  • 主体、客体以及访问控制
  • 保密性:确保在数据处理的每一个交叉点上都实施了必要级别的安全保护并阻止未经授权的信息披露
  • 完整性:是保证信息和系统的准备性和可靠性,并禁止对数据的非授权更改.(不可否认性)
  • 可用性:保护确保授权的用户能够对数据和资源进行及时和可靠的访问
  • 补充:平衡安全(CIA优先级排序)

1.2 评估和应用安全治理的原理

安全治理与公司治理、IT治理交织在一起.安全是业务运营事务,是组织流程.

1.2.1 将安全功能与商业策略、目标、使命和宗旨相连接

  • (高层)策略-(中层)标准、基线、指导方针和程序-(安全人员)配置-(用户)遵守 osg 8th P10 - P12
  • 安全管理计划:定义安全角色、规定如何管理安全、如何检测安全有效性、制定安全策略、执行风险分析、安全教育.
  • 战略计划(5年):含风险评估
  • 战术计划(1年):
  • 操作计划(月/季度):
  • allinone 7 企业安全架构开发(P14,P19,P22企业安全架构)
  • 战略一致性(人体系统、IT循环系统、安全免疫系统)
  • 过程强化:从安全角度审视业务过程
  • 促进业务:核心业务流程应该集成到安全运营模型中-基于标准设计
  • 安全有效性:涉及度量、满足服务水平协议(SLA)需求、实现投资回报率、满足设置基线、使用仪表盘或平衡积分卡系统提供管理

1.2.2 安全控制框架

  • 安全规划开发:BS7799 -> ISO/IEC 27000 (AIO P13)
    • ISO/IEC 27000概述和词汇
    • ISO/IEC 270001 ISMS(信息安全管理体系)要求
    • ISO/IEC 27002 信息安全管理实践代码
    • ISO/IEC 27003信息安全管理体系实施指南
    • ISO/IEC 27005信息安全风险管理指南
    • ISO/IEC 27006 认证机构要求
    • ISO/IEC 27799 医疗机构信息安全管理指南
  • 企业架构开发:
    (1)Zachman框架:2维模型(6个疑问词和不同角色),让人们能从不同观点出发了解一个组织。不是面向安全的。
    (2)开放群组架构框架(TOGAF):迭代和循环过程,从业务->数据->应用程序->技术。打比方:城市规划。
    (3)DoDAF:美国国防部架构框架,确保所有系统、过程和人员协调一致地共同完成任务。
    (4)MODAF:基于DoDAF,英国国防部架构框架
    (5)SABSA:企业信息安全架构开发的模型和方法论,分层,2019-10.14 17:09
  • 安全控制开发:
    (1)COBIT:一个用于治理与管理的框架。通过平衡资源利用率、风险水平和效益实现来帮助组织优化他们的IT价值。 大多数安全合规性审计实践都基于COBIT,被认为行业最佳实践
    (2)NIST SP 800-53:COBIT为商业私营使用的控制目标,NIST为美国政府使用。
    (3)COSO IC内部控制:COBIT派生于COSO IC。COSO是一个企业治理模型,COBIT是IT治理模型。
  • 流程管理开发:
    (1)ITIL(信息技术基础设施库 AIO P23):IT服务管理最佳实践的事实标准,过程改进是其中一部分。
    (2)六西格玛:过程改进方法论
    (3)CMMI 能力成熟度模型集成:(AIO P28-31)持续改进
    • 0级:无管理
    • 1级:过程不可预测
    • 2级:过程可重复
    • 3级:过程可定义
    • 4级:过程可管理:量化测量获得对软件开发过程的详细了解.
    • 5级:过程可优化

1.2.3 组织的流程(例如购置、剥离、治理委员会)

  • 加强安全治理的两个组织流程:变更控制/管理和数据分类. osg 8th P13
  • 变更控制管理目标:
  • 政府/军事分类:绝密、秘密、机密、敏感但未分类(SBU)以及未分类
  • 商业公司:机密、私有、敏感和公开.

1.2.4 谨慎考虑/恪尽职守

  • 应尽关心:制定一种正式的安全框架、包含安全策略、标准、基线、指南和程序.
  • 应尽职责:将安全框架持续应用到组织的IT基础设施上.

1.2.5 组织的角色与职责

  • 高级管理者
  • 安全专业人员
  • 数据所有者
  • 数据托管者
  • 用户
  • 审计人员

1.3 确定合规要求

  • 合规是符合或遵守规则、策略、法规、标准或要求的行为.

1.3.1 合约、法律、行业标准和监管要求

1.3.2 隐私的要求

OSG P42

  • GDPR
    • 数据泄漏通知要求在24小时内将严重的数据泄漏情况通知官方机构
    • 每个欧盟成员国建立集中化数据保护机构
    • 规定个人可访问自己拥有的数据
    • “遗忘权”允许人们要求公司删除不再需要的个人信息.

1.4 理解与信息安全的全球背景相关的法律和监管问题

  • 刑法
  • 民法:维护社会秩序,管理不属于犯罪行为但需要由公正仲裁者解决个人和组织间的问题.
  • 行政法(CFR,美国联邦法规)

1.4.1 网络犯罪和数据泄漏

  • APT
  • 数据泄漏不一定侵犯个人隐私(AIO P59)

1.4.2 跨境数据流

  • OECD 8个核心原则

1.4.3 许可和知识产权的要求

  • 许可:
    • 合同许可协议
    • 开封生效许可协议
    • 单击生效许可协议
    • 云服务许可协议
  • 商业秘密:可口可乐秘方,脑虎商业秘密是保护计算机软件的最佳方法之一.如微软
  • 版权:保护“原创作品”的创作者.如文学、音乐、戏剧、舞蹈等8大类
  • 商标:保护用来辨识公司及其产品或服务的文字、口号和标志的商标
  • 专利:保护发明者的知识产权,期限为20年.
  • 内部保护
  • 软件盗版

1.4.4 隐私 (AIO P50)

  • 通用方式(水平方法,影响所有行业,含政府)
  • 行业规章(垂直方法,特定行业)
  • 个人可标识信息PII:用来唯一识别、联系或定位一个人或可以和其他资源一起用来识别某一个体的数据。

1.4.5 进口/出口控制

  • 计算机出口几乎无控制,不必批准
  • 加密技术需要商务部不超过30天内的审查.
  • 出口规范 9大类

1.5 理解、尊从与提升职业道德 (AIO P120)

1.5.1 ISC2 职业道德规法

1.5.2 组织的道德规范

1.6 开发、撰写于实现安全政策、标准、流程和指南(AIO P61/OSG P20)

  • 安全策略:高级管理层制定的一份全面申明,它规定安全在组织内所扮演的角色。
    策略的种类:(1)监管/规章性(2)建议性 (3)信息/指示性
  • 标准:强制性的活动、动作或规范,它可以为策略提供方向上的支持和实施。
  • 基线:用于定义所需要的最低保护级别。
  • 指南:在没有应用标准时提供的建议性动作和操作指导。(灵活性)
  • 措施/程序:为达到特定目标而应当执行的详细的、分步骤的任务。策略链中最低级别
  • 实施:把以上这些实现

1.7 对业务连续性进行识别、分析以及优先级排序(AIO P94)

  • BCP的总目标是在紧急情况下提供快速、冷静和有效的响应,提高公司从破坏性事件中快速恢复的能力.

  • 业务连续性计划(BCP)通常战略性地关注上层,以业务流程和运营为中心;

    • 1.7.1 项目范围和计划
      • 业务组织分析
      • 选择BCP团队
      • 资源需求
      • 法律和法规要求
    • 1.7.2 业务影响评估(BIA,同 1.7.2 内容):确定组织持续运营所需的资源和这些资源面临的威胁,还评估每个威胁实际发生的可能性以及威胁事件对业务的影响./一种功能性分析,BCP团队通过访谈、文献资料来源收集数据,将企业业务功能、活动和交易等方面文档化,划分企业业务功能层次,最后制定一个分类方案来表示每个单独功能的重要级别。决策方法:定量决策 和 定性决策.
      • 确定优先级:资产价值(AV) + 最大允许中断时间/最大容忍中断时间(MTD/MTO) + 恢复时间目标(RTO). RTO应小于MTD
      • 风险识别:自然风险+人为风险.
      • 可能性评估:年度发生率ARO
      • 影响评估:ALE = AV * EF * ARO
      • 资源优先级排序
    • 1.7.3 连续性计划:开发和实现连续性战略,尽量减少已发生的风险对被保护资产的影响.
      • 策略开发:确定哪些风险需要缓解以及为每个缓解任务提供资源水平
      • 预备和处理:设计过程和机制来减轻在策略开发阶段不可接受的风险.
        • 人员
        • 建筑物和设施:加固预备设施+替代站点
        • 基础设施:物理性加固系统 + 备用系统
    • 1.7.4 计划批准和实施
      • 计划批准
      • 计划实施
      • 培训和教育
      • BCP文档化

  • 灾难恢复计划(DRP)本质上更具战术性,描述恢复站点、备份和容错等技术活动.

1.8 促进与实行人员安全的政策与流程(AIO P112)

1.8.1 员工筛选与雇佣

  • 背景调查
  • 学位或证书
  • 推荐信调查

1.8.2 合规策略要求

1.8.3 雇佣合约与政策

保密协议(NDA) 非竞争协议)(NCA)

1.8.4 隐私策略要求

1.8.5 入职与离职程序

(1)入职:背景调查、
(2)离职:
- 监督下离开
- 上交工牌、财务等
- 禁用或修改账户密码

1.8.6 供应商、顾问与承包商的合约与控制

1.9 理解与运用风险管理的概念

安全的目的是在防止数据丢失或泄漏的同时保持已授权的访问.OSG P44 发生损害、破坏或泄漏数据的可能性成为风险. 风险管理是一个详细的过程,包括识别可能造成数据损坏或泄漏的因素,根据数据价值和控制措施的成本评估这些因素,并实施具有成本效益的解决方案来减轻风险. 风险管理是识别并评估风险,将风险降低至可接受级别并确保能维持这种级别的过程。 实现风险管理目标的过程称为风险分析.

  • 威胁
  • 脆弱性
  • 暴露
  • 风险 = 威胁*脆弱性
  • 防护措施
  • 资产

1.9.1 识别威胁与漏洞(AIO p75)

  • (1)威胁列表:威胁主体以及威胁事件
  • (2)风险评估团队:各个部门
  • (1)监控和审计用户活动,识别用户有意或无意的错误(AIO 7th)
  • (2)研究漏洞衍生问题:
  • (3)延时损失:是次生灾害,发生在漏洞被利用之后。包括:声誉受损、份额减少等

1.9.2 监控与测量

安全控制提供的收益应该是可被监视和测量的.

1.9.3 风险评估与分析

风险评估(一种风险管理工具)方法能够识别脆弱性和威胁以及评估可能造成的损失,从而确定如何实现安全防护措施。 风险分析用于确保安全防护措施是划算的、相关的、及时的并能响应特定威胁。

1.9.4 资产估价

  • 资产估值是通过部署防护措施实现资产保护的成本/收益分析的基础,是选择或评估防护措施和控制手段的一种手段.
  • 定价时,需要考虑的问题:
    1. 获取和开发该资产的成本
    2. 维护和保护该资产的成本
    3. 资产对用户所有者和用户具有的价值
    4. 。。。
      - 资产包括有形资产和无形资产
  • 风险报告是风险分析的最后一项关键任务.

1.9.5 风险响应

  • 基本方式:转移、规避、缓解和接受
    1. 转移:购买保险和外包(风险太大)
    2. 规避:选择替代的选项.停止员工IM服务(终止引入风险的活动/停止活动)
    3. 缓解/降低:安装防火墙/IDS、培训(降低至可接受的级别,从而可以继续开展业务)
    4. 接受:什么也不做(在成本超出收益时)
    5. 威慑: 对可能违反安全和策略的违规者实施威慑的过程.
    6. 拒绝: 拒绝或忽视(不合法、正确) 总风险 = 威胁脆弱性资产价值 剩余风险 = 总风险 - 控制间隙(通过实施保障措施而减少的风险)

1.9.6 汇报

1.9.7 策略选择与实现(AIOP86)

风险评估方法:(AIO P77)

  1. NIST SP800-30:主要关注计算机系统和IT安全问题,侧重操作层面。
    • 评估准备
    • 进行评估
      • 识别威胁和事件
      • 识别威胁和诱发的条件
      • 确定发生的可能性
      • 确定影响的大小
      • 确定风险
    • 沟通结果
    • 维持评估
  2. FRAP:关注需要评估以降低成本和时间的系统(定性方式)
  3. OCTAVE:在具体环境中工作的人员最能理解组织的需要以及面临的风险。
  4. AS/NZS 4360:从商业角度来关注公司的健康情况
  5. ISO/IEC 27005:风险管理的国际标准
  6. FMEA:确定功能、标识功能失效并通过结构化过程评估失效原因和失效影响的方法。

风险分析方法:定量和定性分析
(1) 定量分析:

  1. 自动风险分析方法
  2. 风险分析步骤:(SLE(单一损失期望) = 资产价值(AV)*暴露因子(EF),ALE((年化损失期望)) = SLE * ARO(年发生率)
  3. 结果:
    • 资产的货币价值
    • 所有威胁的综合列表
    • 威胁发生的概率
    • 威胁下承受的潜在损失
    • 建议的防护措施、对策和行动
      (2) 定性分析:
    • Delphi
    • 集体讨论
    • 情节串联
    • 。。。
      两者结合,定量方法用于有形资产,定性方法用于无形资产。 防护措施对公司的价值 = 控制实施前的ALE - 控制实施后的ALE - 防护措施年度成本ACS

1.9.8 持续提高 OSG P58

  • 定期进行持续改进/任何已实施的安全解决方案需要更新

1.9.9 控制措施适用的类型(如:预防措施、检测措施和纠正)

  1. 管理性控制措施
  2. 技术性控制措施
  3. 物理性控制措施 控制类型:
  4. 威胁控制:标识、意识培训、陷阱和摄像头
  5. 预防控制:防火墙、IDS
  6. 检测控制:蜜罐、IDS
  7. 补偿控制:
  8. 纠正控制:
  9. 恢复控制:是纠正控制的扩展,具备更加高级和复杂的能力.
  10. 指示控制:逃生路线指示

1.9.10 风险管理框架

  1. NIST RMF(SP 800-37r1:1安全分类2选择安全控制3实施安全控制4评估安全控制5授权信息系统6监视安全控制)
  2. OCTAVE() 、FAIR(信息风险因素分析) 、 TARA(威胁代理风险分析)
  3. ISO 31000:2009
  4. ISACA IT风险
  5. COSO企业风险管理-集成的框架

1.9.11 安全控制评估(SCA)(AIO P93)

- SCA是根据基线或可靠性期望对安全基础设施的各个机制进行的正式评估,可作为渗透测试或漏洞评估的补充内容.
- 目标:确保安全机制有效

1.10 理解与运用威胁建模的概念和方法

  • 威胁建模是识别、分类和分析潜在威胁的安全过程.
  • 降低与安全相关设计和编码的缺陷数量(主动式威胁建模)
  • 降低剩余缺陷的严重程度(被动式,如渗透测试、fuzz)

1.10.1 威胁建模的方法论

  • 识别威胁(STRIDE:欺骗、篡改、否认、信息泄漏、拒绝服务以及特权提升)
    • 攻击模拟和威胁分析(PASTA):是以风险为核心,旨在选择或开发与要保护的资产价值相关的防护措施.
    • Trike侧重风险,VAST基于敏捷项目管理和编程原则的威胁建模概念.
  • 绘制和确定潜在的攻击:通过创建事务中的元素图表以及数据流和权限边界来完成.
  • 执行简化分析:分解应用程序、系统或环境(信任边界、数据流路径、输入点、特权操作、安全声明和方法的细节)
  • 优先级排序和响应:DREAD(潜在破坏、可再现性、可利用性、受影响用户、可发现性)

1.10.2 威胁建模的概念(漏洞+威胁+攻击)

  1. 脆弱性:信息(静态数据、传输中的数据、使用中的数据),过程,人员(社工、社交网络、密码)
  2. 威胁:恶意攻击者、内部人员
  3. 攻击:攻击链/攻击树
  4. 削减分析:减少防御的攻击数量、减少攻击带来的威胁(对策)

1.11 将基于风险的管理概念运用到供应链

1.11.1 与硬件、软件和服务相关的风险

1.11.2 服务水平(SLA)要求

  • 系统运行时间
  • 最长联系停机时间
  • 最大负载
  • 诊断职责
  • 故障切换时间

1.11.3 第三方评估与监测

  • 现场评估
  • 文件交换和审查
  • 过程/策略审查
  • 第三方审计

1.11.4 最低安全需求

1.12 建立与维护安全意识、教育和培训计划

1.12.1 安全意识宣贯与培训的方法和技术

安全意识建立了对安全理解的最小化的通用标准或基础. 三个层次:安全意识、培训和教育 1. 管理层、职员、技术人员
2. 职责分离 3. 岗位分离(岗位轮换:1知识备份2降低欺诈) 4. 双重控制 5. 强制休假( 检测欺诈活动的控制方法)

1.12.2 定期内容检查

1.12.3 方案效果与评估

采用周期性的内容评审方式,定期对方案效果与评估.

本章关键字:

  • 保护机制
  • 分层
  • 抽象
  • 数据隐藏
  • 加密

知识域1:安全和风险管理

  • 内容概述:
  • 安全和风险管理知识域包含了许多基本的信息安全概念、原则以及信息安全管理相关活动和方法。该知识域涵盖了在企业信息安全中相关的基本概念和原则,包括:机密性、完整性和可用性等;还涵盖了信息安全治理的主要概念和方法,包括安全治理的概念、企业中安全相关的组织角色和责任、安全管理计划编制以及安全策略结构;信息安全专业人员需要参与到相关的安全管理活动中,主要包括制定和实施相关的策略来支持风险管理活动,最终符合法律、法规等要求,以及在出现不可预见的灾难情况下确保企业业务的连续运营。

安全和风险管理知识域在CISSP CBK中包括(源自于:CBK5):

一、 理解和应用机密性、完整性和可用性的概念

  • 理解由保密性、完整性和可用性组成的CIA三元组。
    • 保密性原则是指客体不会被泄露给未经授权的主体。
    • 完整性原则是指客体保持真实性且只被经过授权的主体进行有目的的修改。
    • 可用性原则指被授权的主体能实时和不间断地访问客体。
  • 了解这些原则为什么很重要,并了解支持它们的机制,以及针对每种原则的攻击和有效的控制措施。
  • 能够解释身份标识是如何工作的。
    • 身份标识是下属部门承认身份和责任的过程。
    • 主体必须为系统提供标识,以便启动身份验证、授权和问责制的过程。
  • 理解身份验证过程。
    • 身份验证是验证或测试声称的身份是否有效的过程。
    • 身份验证需要来自主体的信息,这些信息必须与指示的身份完全一致。
  • 了解授权如何用于安全计划。
    • 一旦对主体进行了身份验证,就必须对其访问进行授权。
    • 授权过程确保所请求的活动或对象访问是可能的,前提是赋予已验证身份的权利和特权。

二、评估和应用安全治理原则

  • 理解安全治理。
    • 安全治理是与支持、定义和指导组织安全工作相关的实践集合。
  • 能够解释审计过程。
    • 审计(或监控追踪和记录)主体的操作,以便在验证过的系统中让主体为其行为负责。
    • 审计也对系统中未经授权的或异常的活动进行检测。需要实施审计来检测主体的恶意行为、尝试的入侵和系统故障,以及重构事件、提供起诉证据、生成问题报告和分析结果。
  • 理解问责制的重要性。
    • 组织安全策略只有在有问责制的情况下才能得到适当实施。换句话说,只有在主体对他们的行为负责时,才能保持安全性。有效的问责制依赖于检验主体身份及追踪其活动的能力。
  • 能够解释不可否认性。
    • 不可否认性确保活动或事件的主体不能否认事件的发生。它防止主体声称没有发送过消息、没有执行过动作或没有导致事件的发生。
  • 了解关键的安全角色。
    • 主要的安全角色有高级管理者、组织所有者、上层管理人员、安全专业人员、用户、数据所有者、数据托管员和审计人员。通过创建安全角色的层次结构,可以全面限制风险。
  • 了解分层防御如何简化安全。
    • 分层防御使用一系列控制中的多个控制。使用多层防御解决方案允许使用许多不同的控制措施来抵御威胁。
  • 能够解释抽象的概念。
    • 抽象用于将相似的元素放入组、类或角色中,作为集合被指派安全控制、限制或许可。抽象增加了安全计划的实施效率。
  • 理解数据隐藏。
    • 顾名思义,数据隐藏指将数据存放在主体无法访问或读取的逻辑存储空间以防数据被泄露或访问。数据隐藏通常是安全控制和编程中的关键元素。
  • 理解加密的必要性。
    • 加密是对非预期的接收者隐藏通信的真实含义和意图的艺术与科学。加密有多种形式,适用于各种类型的电子通信,包括文本、音频和视频文件及应用程序。加密是安全控制中的重要内容,特别是在系统间传输数据时。
  • 理解如何管理安全功能。
    • 为管理安全功能,组织必须实现适当和充分的安全治理。通过风险评估来驱动安全策略的实施是最明显、最直接的管理安全功能的实例。这也与预算、测量、资源、信息安全策略以及评估安全计划的完整性和有效性相关。

三、 明确合规需求

  • 了解COBIT的基础知识。
    • COBIT是一种安全控制基础架构,用于为企业制定复合的安全解决方案。
  • 解释全面合规程序的重要性。
    • 大多数组织都受制于与信息安全相关的各种法律和法规要求。构建合规性程序可确保你能实现并始终遵守这些经常重叠的合规需求。

四、了解在全球背景下与信息安全相关的法律和监管问题

  • 了解刑法、民法和行政法的区别。
    • 刑法保护社会免受违反我们所信仰的基本原则的行为的侵害。违反刑法的行为将由美国联邦和州政府进行起诉。民法为人与组织之间的商业交易提供了框架。违反民法的行为将通过法庭,由受影响的当事人进行辩论。行政法是政府机构有效地执行日常事务的法律。
  • 了解版权、商标、专利和商业秘密之间的区别。
    • 版权保护创作者的原创作品,如书籍、文章、诗歌和歌曲。
    • 商标是标识公司、产品或服务的名称、标语和标志。
    • 专利为新发明的创造者提供保护。
    • 商业秘密法保护企业的经营秘密。
  • 了解不同类型的软件许可协议。
    • 合同许可协议是软件供应商和用户之间的书面协议。
    • 开封生效协议写在软件包装上,当用户打开包装时生效。
    • 单击生效许可协议包含在软件包中,但要求用户在软件安装过程中接受这些条款。
  • 理解美国和欧盟对管理个人信息隐私的主要法律。
    • 美国有许多隐私法律会影响政府对信息的使用以及特定行业的信息使用,例如处理敏感信息的金融服务公司和医疗健康组织。
    • 欧盟有非常全面的《通用数据保护条例GDPR》来管理对个人信息的使用和交换。
  • 了解如何将安全纳入采购和供应商管理流程。
    • 许多组织广泛使用云服务,需要在供应商选择过程中以及在持续供应商管理过程中对信息安全控制进行审查。

五、理解、坚持和促进职业道德

  • (ISC)2道德规范准则:
    • 保护社会、公共利益、必要的公共信任和信心、以及基础设施。
    • 行为得体、诚实、公正、负责和遵守法律。
    • 为委托人提供尽职的和胜任的服务工作。
    • 发展和保护职业声誉。

六、制定、记录和实施安全策略、标准、程序和指南

  • 理解安全管理计划。
    • 安全管理基于三种类型的计划:战略计划、战术计划和操作计划。
    • 战略计划是相对稳定的长期计划(5年),它定义了组织的目的、任务和目标。
    • 战术计划是中期计划(1年),为实现战略计划中设定的目标提供更多细节。
    • 操作计划是基于战略和战术计划的短期(月/季度)和高度详细的计划。
  • 了解规范化安全策略结构的组成要素。
    • 要创建一个全面的安全计划,需要具备以下内容:安全策略、标准基线、指南和程序。
    • 这些文件清楚地说明安全要求,并促使责任各方实施尽职审查。

七、识别、分析和考虑业务连续性优先级

  • 了解BCP过程的四个步骤。
    • BCP包括四个不同阶段:项目范围和计划,业务影响评估,连续性计划,计划批准和实施。
    • 每项任务都有助于确保实现在紧急情况下业务保持持续运营的总体目标。
  • 描述如何执行业务组织分析。
    • 在业务组织分析中,负责领导BCP过程的人员确定哪些部门和个人参与业务连续性计划。该分析是选择BCP团队的基础,经BCP团队确认后,用于指导BCP开发的后续阶段.
  • 列出BCP团队的必要成员。
    • BCP团队至少应包括:来自每个运营和支持部门的代表,IT部门的技术专家,具备BCP技能的物理和IT安全人员,熟悉公司法律、监管和合同责任的法律代表,以及高级管理层的代表。其他团队成员取决于组织的结构和性质。
  • 了解BCP人员面临的法律和监管要求。
    • 企业领导必须实施尽职审查,以确保在灾难发生时保护股东的利益。
    • 某些行业还受制于联邦、州和地方法规对BCP程序的特定要求。许多企业在灾难发生前后都有履行客户合约的义务。
  • 解释业务影响评估过程的步骤。
    • 业务影响评估过程的五个步骤是:确定优先级、风险识别、可能性评估、影响评估和资源优先级排序。
  • 描述连续性策略的开发过程.
    • 1.在策略开发阶段,BCP团队确定要减轻哪些风险。
    • 2.在预备和处理阶段,设计可降低风险的机制和程序。然后,该计划必须得到高级管理层的批准并予以实施。人员还必须接受与他们在BCP过程中角色相关的培训。
  • 解释对组织业务连续性计划进行全面文档化的重要性。
    • 将计划记录下来,可在灾难发生时给组织提供一个可遵守的书面程序。这可确保在紧急情况下有序实施计划。

八、树立和实施人员安全策略和程序

  • 理解雇用新员工对安全的影响。
    • 为实施恰当的安全计划,必须为职责描述、职位分类、工作任务、工作职责、防止串通、候选人筛选、背景调查、安全许可、雇佣协议和保密协议等设立标准。
    • 通过采用这些机制,可确保新员工了解所需的安全标准,从而保护组织的资产。
  • 能够解释职责分离。
    • 职责分离的概念是将关键的、敏感的T作任务划分给多个人员.
    • 通过以这种方式划分职责,可确保没有能够危害系统安全的个人。
  • 理解最小特权原则。
    • 最小特权原则要求在安全的环境中,用户应获得完成工作任务或工作职责所需的最小访问权限.
    • 通过将用户的访问限制在他们完成工作任务所需的资源上,就可以限制敏感信息的脆弱性。
  • 了解岗位轮换和强制休假的必要性。
    • 岗位轮换有两个功能。它提供了一种知识备份,岗位轮换还可以降低欺诈、数据修改、盗窃、破坏和信息滥用的风险。
    • 为了审计和核实员工的工作任务和特权,可使用一到两周的强制休假。强制休假能够轻易发现特权滥用、欺诈或疏忽。
  • 能够解释恰当的解雇策略。
    • 解雇策略规定解雇员工的程序,应该包括有现场证人、禁用员工的网络访问权限和执行离职面谈等内容。
    • 解雇策略还应包括护送被解雇员工离开公司,并要求归还安全令牌、徽章和公司财产。

九、理解和应用风险管理概念

  • 能够定义整体的风险管理。
    • 风险管理过程包括识别可能造成数据损坏或泄露的因素,根据数据价值和控制措施的成本评估这些因素,并实施具有成本效益的解决方案来减轻风险。通过执行风险管理,为全面降低风险奠定基础。
  • 理解风险分析和相关要素。
    • 风险分析是向高层管理人员提供详细信息以决定哪些风险应该缓解,哪些应该转移,哪些应该接受的过程。
    • 要全面评估风险并采取适当的预防措施,必须分析以下内容:资产、资产价值、威胁、脆弱性、暴露、风险、已实现风险、防护措施、控制措施、攻击和侵入。
  • 知道如何评估威胁。
    • 威胁有许多来源,包括人类和自然。
    • 以团队形式评估威胁以便提供最广泛的视角。
    • 通过从各个角度全面评估风险可降低系统的脆弱性。
  • 理解定量风险分析。
    • 定量风险分析聚焦于货币价值和百分比。全部使用定量分析是不可能的,因为风险的某些方面是无形的。
    • 定量风险分析包括资产估值和威胁识别,然后确定威胁的潜在发生频率和造成的损害,结果是防护措施的成本/效益分析。
  • 能够解释暴露因子(EF)概念。
    • 暴露因子是定量风险分析的一个元素,表示如果已发生的风险对组织的某个特定资产造成破坏,组织将因此遭受的损失百分比。
    • 通过计算风险暴露因子,就能实施良好的风险管理策略。
  • 了解单一损失期望(SLE)的含义和计算方式。
    • SLE是定量风险分析的一个元素,代表已发生的单个风险给特定资产带来的损失。
    • 计算公式为:SLE=资产价值(AV)*暴露因子(EF) 。
  • 理解年度发生率((ARO)。
    • ARO是量化风险分析的一个元素,代表特定威胁或风险在一年内发生(或实现)的预期频率。
    • 进一步了解可帮助计算风险并采取适当的预防措施。
  • 了解年度损失期望(ALE)的含义和计算方式。
    • ALE是定量风险分析的一个元素,指的是针对特定资产的所有可发生的特定威胁,在年度内可能造成的损失成本。
    • 计算公式为:ALE=单一损失期望((SLE)*年度发生率(ARO)。
  • 了解评估防护措施的公式。
    • 除了确定防护措施的年度成本外,还需要为资产计算防护措施实施后的ALE。可使用这个计算公式:防护措施实施前的ALE-防护措施实施后的ALE-防护措施的年度成本=防护措施对公司的价值,或(ALE1-ALE2) - ACS。
  • 理解定性风险分析。
    • 定性风险分析更多的是基于场景而不是基于计算。这种方式不用货币价值表示可能的损失,而对威胁进行分级,以评估其风险、成本和影响。
    • 这种分析方式可帮助那些负责制定适当的风险管理策略的人员。
  • 理解Delphi技术。
    • Delphi技术是一个简单的匿名反馈和响应过程,用来达成共识。这样的共识让各责任方有机会正确评估风险并实施解决方案。
  • 了解处理风险的方法。 -风险降低(即风险缓解)就是实施防护措施和控制措施。
    • 风险转让或风险转移是将风险造成的损失成本转嫁给另一个实体或组织;购买保险是风险转移的一种形式。
    • 风险接受意味着管理层已经对可能的防护措施进行了成本/效益分析,并确定了防护措施的成本远大于风险可能造成的损失成本。这也意味着管理层同意承担风险发生后的结果和损失。
  • 能够解释总风险、残余风险和控制间隙。
    • 总风险是指如果不实施防护措施,组织将面临的风险。可用这个公式计算总风险:威胁脆弱性资产价值=总风险。
    • 残余风险是管理层选择接受而不再进行减轻的风险。
    • 总风险和残余风险之间的差额是控制间隙,即通过实施防护措施而减少的风险。
    • 残余风险的计算公式为:总风险一控制间隙=残余风险。
  • 理解控制类型。
    • 术语“控制”指广泛控制,执行诸如确保只有授权用户可以登录和防止未授权用户访问资源等任务。
    • 控制类型包括预防、检测、纠正、威慑、恢复、指示和补偿控制。
    • 控制也可分为管理性、逻辑性或物理性控制。
  • 理解如何管理安全功能。
    • 为管理安全功能,组织必须实现适当和充分的安全治理。
    • 通过风险评估来驱动安全策略的实施是最明显、最直接的管理安全功能的实例。这也与预算、测量、资源、信息安全策略以及评估安全计划的完整性和有效性相关。
  • 了解风险管理框架的六个步骤。
    • 风险管理框架的六个步骤是:安全分类、选择安全控制、实施安全控制、评估安全控制、授权信息系统和监视安全控制。

十、理解和应用威胁建模概念和方法

  • 了解威胁建模的基础知识。
    • 威胁建模是识别、分类和分析潜在威胁的安全过程。
    • 威胁建模可当成设计和开发期间的一种主动措施执行,也可作为产品部署后的一种被动措施执行。
    • 关键概念包括资产攻击者/软件、STRIDE、PASTA、Trike、VAST、图表、简化/分解和DREAD。

十一、将基于风险管理的概念应用于供应链

  • 理解将基于风险的管理理念应用于供应链的必要性。
    • 将基于风险的管理理念应用到供应链中,可确保所有规模的组织都具有更加可靠和成功的安全策略。
    • 若收购时未考虑安全因素,这些产品的固有风险在整个部署生命周期中都存在。
  • 理解供应商、顾问和承包商的控制。
    • 供应商、顾问和承包商的控制用来确定组织主要的外部实体、人员或组织的绩效水平、期望、薪酬和影响。
    • 通常,这些控制条款在SLA文档或策略中规定。
  • 能够讨论第三方安全治理。
    • 第三方安全治理是由法律、法规、行业标准、合同义务或许可要求强制规定的监督制度。

十二、建立并维护安全意识、教育和培训计划

  • 了解如何实施安全意识培训。
    • 在接受真正的培训前,必须让用户树立已认可的安全意识。
    • 一旦树立了安全意识,就可以开始培训或教导员工执行他们的工作任务并遵守安全策略。所有新员工都需要一定程度的培训以便他们遵守安全策略中规定的所有标准、指南和程序。
    • 教育是一项更详细的工作,学生/用户学习的内容比他们完成工作任务实际需要知道的要多得多。教育通常与用户参加认证或寻求工作晋升关联。

知乎参考资料