• 在2018年4月公布的CISSP考试大纲中,[资产安全]的平均权重为10%。其中使用的AIO为第7版,OSG为第8版
  • 资产安全知识域涵盖信息和信息资产在其生命周期中的安全保护,包括恰当的收集、分类、处置以及控制措施的选择和使用。本知识域的重要概念包括数据的所有权、隐私、数据安全控制和相关密码学的应用。安全和风险管理知识域包含了许多基本的信息安全概念、原则以及信息安全管理相关活动和方法。

一、资产安全概念

  • 数据管理必须遵循一套广泛适用于组织的原则和程序。完善的数据策略可以指导组织仅仅收集所需的信息、确保这些信息安全,并且在不需要的时候安全的销毁它们。
  • 在许多大型组织中,数据治理委员会负责监督数据策略,并概述了不同职能利益相关方的角色和职责。组织应确定如何管理重要数据的创建、转换和使用。以上这些描述了数据治理。
  • 数据质量涉及数据的完整性和可靠性。在衡量数据质量时,首要考虑的因素包括准确性、货币性和相关性。
  • 质量保证(QA):使用规定的标准来评估和发现数据中的不一致和其他异常情况,并应用数据净化技术来交付最终产品。QA解决了问题:“数据是否符合目的?”
  • 质量控制(QC):根据内部标准、流程和程序进行数据质量评估,以控制和监视QA所告知的质量。质量控制解决了以下问题:“数据可以使用吗?”
  • 记账错误:数据输入错误或不正确的转录,这类错误应该在数据获取过程中通过QA来减少。
  • 遗漏错误:这些遗漏的数据可能导致不准确的值、数据资产解释或者数据计算,这类错误很难检测。
  • 信息资产生命周期模型描述了:一个实体在其生命周期中,所经历的变化。企业去管理和控制,对他们的信息访问,是非常重要的。

二、标识和分类信息和资产

  • 了解为什么以及如何对数据进行分类。
    • 对数据进行分类是为将安全控制分配过程简化成分配给一组客体而不是单个客体。
    • 两个常见的分类方案是政府、军事分类和商业私营部门分类。
  • 了解政府/军事分类方案的五个级别和商业/私营部门分类方案的四个分类级别。
  • 理解解除分类的重要性。
    • 一旦资产不再被授权保护其当前指定的分类或敏感级别,就需要解除分类。

三、确定和维护信息和资产的所有权

  • 了解不同角色之间的差异。
    • 数据所有者负责分类、标记和保护数据。
    • 系统所有者负责处理数据的系统。
    • 业务拥有者负责过程并确保系统为组织提供价值。
    • 数据使用者通常是处理数据的第三方实体。管
    • 理员根据数据所有者提供的指南授予数据的访问权限。
    • 用户在执行任务时访问数据。托管员有责任保护和存储数据。

四、保护隐私

  • 了解PII和PHI。
    • 个人身份信息(PII)是能够识别个人的任何信息。
    • 受保护的健康信息(PHI)是特定的人的任何与健康相关的信息。许多法律法规规定了PH和PHI的保护。
  • 了解隐私如何适合于安全领域。了解隐私的多重含义/定义,为什么保护隐私很重要,以及工作环境中与隐私相关的问题。
  • 了解GDPR安全控制。
    • GDPR规定了隐私数据的保护方法。
    • GDPR中提到的两个关键安全控制是加密和假名。
    • 假名是用化名替换某些数据元素的过程。这使得识别个人身份更加困难。

五、确保适当的资产保留

  • 理解记录保存。
    • 记录保留策略确保数据在需要时保持可用状态,在不再需要时销毁它。
    • 许多法律法规要求在特定时段内保存数据,但在没有正式规定的情况下,组织根据策略确定保留期。
    • 审计踪迹数据需要保持足够长的时间以重构过去的事件,但组织必须确定他们要调查多久之前的事。
    • 许多组织目前的趋势是通过实现电子邮件短保留策略来减少法律责任。

六、确定数据的安全控制

  • 了解数据和资产分类的重要性。
    • 数据所有者负责维护数据和资产分类,并确保数据和系统被正确标记。
    • 此外,数据所有者还提出了在不同的分类信息中保护数据的新要求,比如在静止和传输中加密敏感数据。
    • 数据分类通常在安全策略或数据策略中定义。

七、建立信息和资产处置需求

  • 你需要知道如何管理敏感信息。
    • 敏感信息是任何类型的机密信息,适当的管理有助于防止未经授权的泄露导致机密损失。
    • 正确的管理包括对敏感信息的标识、处理、存储和销毁。组织经常遗漏的两个方面是充分保护保存敏感信息的备份介质,并在其生命周期结束时对介质或设备进行净化。
  • 了解安全控制基线。
    • 安全控制基线提供了组织可作为基线应用的控件列表。
    • 并非所有基线都适用于所有组织。然而,组织可应用范围界定和按需定制技术使基线适应自己的需求。
  • 能够解释变更控制和变更管理的概念。
    • 安全环境的变更可能引入漏洞、重叠、客体丢失和疏忽,进而导致出现新的脆弱性。
    • 面对变更,维护安全的唯一途径就是系统性的变更管理。

2 资产安全

2.1 识别与分类信息和资产

  • 定义敏感数据
    • 个人信息(PII):任何可以识别个人的信息(姓名,教育,金融等)
    • 受保护的健康信息(PHI):与特定个人有关的任何健康信息.
    • 专有数据:任何有助于组织保持竞争优势的数据.
  • 定义数据分类
    • 政府:绝密、秘密、机密、未分类
    • 非政府:机密/专有、私有、敏感和公开
  • 定义资产分类
    • 资产分类应与数据分类相匹配.
  • 确定数据的安全控制
  • 理解数据状态
    • 静态数据
    • 动态数据
    • 使用中的数据
  • 管理信息和资产
    • 1标记敏感数据和资产(物理标签和数字标记/标签)
    • 2处理敏感信息和资产
    • 3存储敏感数据
    • 4销毁敏感数据
      • 净化: 确保所有非易失性存储器被移除或销毁.
    • 5消除数据残留
      • 擦除(删除文件而已,可恢复)
      • 清理(也叫覆盖,指写入一次未分类数据,有概率恢复)
      • 清除(多次写入数据,无法恢复)
      • 消磁(针对磁盘)
      • 销毁(都可)
    • 确保适当的资产保留期
      • 记录保留:需要时就保留和维护重要信息,不需要时就销毁它.
      • 介质保留
      • 人员保留
      • 硬件保留
    • 数据保护方法
      • 对称加密(AES、3DES、BlowFish(Bcrypt增加了128位)
      • 传输加密(SSL、TLS、IPSec)

2.2 确定与维护信息和资产所有权

  • 数据所有者:对数据负有最终组织责任的人
  • 资产所有者:拥有处理敏感数据的资产或系统的人员.
  • 业务/任务所有者:
  • 数据使用者:任何处理数据的系统

2.3 保护隐私

  • OSG P128

2.3.1 数据所有者

  • 数据所有者:对数据负有最终组织责任的人

2.3.2 数据管理者

  • 数据管理员负责授予人员适当的访问权限,未必具有全部管理员权限和特权,但具备分配权限的能力.

2.3.3 数据残留

  • 数据残留:擦出后仍遗留在介质上的数据.

2.3.4 数据收集限制

2.4 确保适当的资产保留

2.5 确保数据安全控制

  • 加密
  • 控制

2.6 建立信息和资产的处理要求