CISSP考试第2章 资产安全
2023-03-05 18:06:24 1 举报AI智能生成
整理cissp考试第二知识域:资产安全章节思维导图,以供参考
作者其他创作
大纲/内容
1.数据管理
1.1 数据管理最佳实践参考
制定数据策略,明确数据管理的战略目标和原则
清晰定义数据的角色和职责,包括数据提供者、所有者和管理者
数据管理流程中的数据质量控制流程,确认和验证数据的准确性
数据管理文件化,并描述每个数据集中的元数据
根据用户需求和数据使用,来规划和定义数据库
信息系统基础设施、数据存储、数据备份以及数据自身的更新策略
持续的数据审计,提供数据和资产的管理有效性和数据完整性
2.资产识别和分类
2.1 定义敏感数据
个人身份信息PII
任何可用于识别或追踪个人身份的信息
与个人有联系或可联系的其它信息
受保护的健康信息PHI
《健康保险流通与责任法案》HIPAA
任何提供或补充保健政策的雇主都会收集并处理PHI
HIPAA适用于美国的大部分组织
专有数据
专有数据指任何有助于组织保持竞争优势的数据
可以是软件代码、产品技术计划、内部流程、知识产权或商业秘密
2.2 定义数据分类
政府数据分类
绝密 Top Secret—异常严重的损害
秘密 Secret—严重损害
机密 Confidential—损害
未分类 Unclassified—无损害
非政府数据分类
机密/专有—异常严重的损害
私有—严重损害
敏感—损害
公开—无损害
2.3 定义资产分类
资产分类应与数据分类相匹配
通常在硬件资产上使用清晰的标记,提醒可在资产上处理或存储数据
2.4 确定数据的安全控制
2.5 理解数据状态
静态数据
静态数据是存储在系统硬盘、外部USB驱动器、SAN和备份磁盘等介质上的任何数据
动态数据
传输中的数据,是通过网络传输的任何数据;有线或无线以及公共网络传输的数据
使用中的数据
指应用程序使用内存或临时存储缓冲区中的数据
2.6 管理信息和资产
数据泄露指未获授权的实体查阅和访问敏感数据
标记敏感数据和资产
物理标签
电子标签
处理敏感信息和资产
处理指的是介质在有效期内的安全传输
存储敏感数据
敏感数据应以防止它受到任何损失类型的影响的方式存储
销毁敏感数据
组织的安全策略或数据策略应基于数据的分类来确定可接受的销毁方法
消除数据残留
消磁SSD不会删除数据
净化SSD的最佳方法是销毁
销毁数据常见方法
擦除
擦除介质只对文件执行删除操作,选择一个文件或整个介质
清理
清理或覆盖操作,以便重新使用介质,并确保攻击者不能使用传统恢复工具来恢复已经清理的数据
清除
清除是一种更强烈的清理形式,为在不太安全的环境中重用介质做准备
消磁
消磁不影响光学CD、DVD或SSD
销毁
介质生命周期中的一个阶段,是最安全的介质净化方法
确保适当的资产保留期
记录保留和介质保留是资产保留的最重要的因素
人员保留;组织通常要求签署保密协议NDA
2.7 数据保护方法
保护数据的保密性的主要方法之一是加密
用对称加密保护数据
用传输加密保护数据
3.定义数据所有权
3.1 数据所有者
对数据负有最终组织责任的人
3.2 资产所有者
拥有处理敏感数据的资产或系统的人员
3.3 业务/任务所有者
3.4 数据使用者
隐私保护原则
通知:组织必须告知个人收集和使用信息的目的
选择:组织赋予个人选择退出的权力
向前传输:组织只能将数据传输给符合以上的“通知”和“选择”原则的组织
安全:组织必须采取合理的预防措施来保护个人数据
数据完整性和仅收集与自己相关的数据:组织仅可收集为达到“通知”原则中的目的所需的数据,而不允许收集其它数据。组织还负责采取合理措施确保个人数据准确完整和最新
可访问:个人必须能访问组织持有的个人信息。当个人信息不准确时,个人还必须能纠正、修改或删除信息
方法、强化和责任:组织必须建立一套机制以确保其所有操作都遵守隐私保护原则,并建立投诉机制以处理来自个人的投诉
假名
假名就是别名
GDPR将假名定义为用人为标识符替换数据,这些人为标识符就叫做假名
匿名
匿名化是删除所有相关数据的过程
3.5 管理员
数据管理员负责授予人员适当的访问权限
最小特权
知其所需
3.6 托管员
数据所有者将日常任务委托给托管员
3.7 用户
用户是通过计算系统访问数据以完成告知任务的人
3.8 保护隐私
仅限于所需的数据
4.使用安全基线
4.1 范围界定和按需定制
安全基线提供了一个基点并确保了最低安全标准,组织经常使用的安全基线是映像
范围界定:指审查基线安全控制列表
按需定制:修改基线内的安全控制列表
4.2 选择标准
0 条评论
下一页
