CISSP 8 大知识域- 安全和风险管理
2023-12-14 13:42:08 0 举报AI智能生成
CISSP 8 大知识域 - 安全和风险管理 后续会继续推出其它七个知识域,谢谢多多关注
作者其他创作
大纲/内容
风险管理
概念
资产
资产价值
脆弱性
信息
过程
人员
威胁
识别威胁
关注资产
关注攻击者
关注软件
威胁建模
存在的漏洞
可行的攻击
有能力的威胁
攻击
欺骗
篡改
否认
拒绝服务
特权提升
漏洞
暴漏
风险
目标
确定资产及其价值
识别脆弱性和威胁
量化潜在威胁的可能性和业务影响
在威胁的影响和对策的成本之间达到预算的平衡
风险评估与分析
定量分析
年度预期损失ALE=单一预期损失SLE8年度发生率ARO
单一预期损失SLQ=资产价值AV*暴漏因子EF
定性分析
风险处置
转移
规避
缓解
接受
风险控制
行政控制
技术控制
物理控制
控制类型
威慑
预防
检测
补偿
纠正
恢复
风险管理框架RMF
INST RMF(SP 800-37r1) - 美国政府强制采用
ISO31000:2009-广泛适用于组织
OCTAVE和AS/NZS4360基于公司
ISACA IT-与COBIT 完美结合
COSO-继承的框架
供应链(外包)风险管理
软、硬件、服务相关的风险
第三方评估与监控
服务水平要求
最低安全要求
业务连续性计划
项目管理范围与计划
业务组织分析
BCP团队选择组建
资源要求
法律合规性
业务影响分析BIA
优先性
最大停机时间MTO
RTO与RPO
风险识别
可能性评估
影响评估
资源优先级划分
业务连续性
策略开发
预备/处理
计划审批
计划实现
培训/教育
BCP文档化
连续性计划目标
重要性声明
优先级声明
组织职责声明
紧急程度和时限声明
风险评估
可接受的风险/缓解
重大事件记录
变更记录
维护
测试
法律与道德
法律体系
民法
普通法
刑法
民法民事侵权行为
行政(管理)法
习惯法
宗教发
混合法系
法律法规
计算机犯罪与信息泄露
知识产权
商业秘密
版权
商标
专利
软件许可
进出口控制
跨境数据传输
安全港
隐私问题
隐私法案
员工隐私保护
合规性需求
合同、法律、法规、行业标准
隐私
道德
ISC2 道德规范
保护社会、公共利益,必要的公共信任和信心
行为得体、诚实、公正,遵守法律
为委托人提供尽职和胜任的服务
保护和促进行业发展
企业道德规范
基本概念
三元组
机密性 Confidentiality
数据加密
传输加密
访问控制
完整性 Integrity
配置管理
变更管理
访问管理
散列、签名
可用性 Avaliability
冗余硬件
数据备份
集群
负载均衡
真实性和不可抵赖性
反向三元组
泄露 Disclosure
篡改 Alteration
破坏 Destruction
安全术语
脆弱性 Vulnerability
系统中允许威胁来破坏安全性得缺陷
威胁 Threat
利用脆弱性带来得潜在危险
风险 Risk
威胁源利用脆弱性的可能性及相应的业务影响
暴漏 Exposure
造成损失的实例
安全控制
类型
物理控制
逻辑(技术)控制
管理控制
功能
预防
检测
纠正
威慑
恢复
补偿
安全治理和体系框架
安全必须与业务战略、目标、任务保持一致
风险管理框架
架构
ISO 27000 系列
Zachman
SABSA
TOGAF
DoGAF、MoGAF 广泛应用于军事
控制
COBIT
商业组织(偏 IT 治理)
NIST SP 800-53
联邦政府
COSO
商业组织
流程
ITIL
六西格玛
能力成熟度模型 CMMI
无管理
过程不可预测
过程可重复
过程可定义
过程可管理
过程可优化
策略、组织和人员
安全策略
标准
基线
指南
措施
实施
组织架构
高级管理层
注意西方文化,这里是指董事会
委员会
安全委员会
审计委员会
风险管理委员会
首席信息官 CIO
首席安全官 CSO
信息安全专家
安全职责
高层定义政策、策略
中层定义标准、基线、指南和程序
业务经理、安全专家实施
用户遵守执行
人员
分类
数据所有者
数据管理员
系统所有者
安全管理员
审计员
用户
人员录用
背景调查
保密协议
在职控制
职责分离
按需知晓
最小特权
轮岗
强制休假
离职控制
权限回收
禁用流程
安全意识和培训
展示的技术(社会工程、网络钓鱼。。。)
展示的方法(员工手册、屏幕横幅、海报。。。)
定期内容审查
程序有效性评估
职业:本科
0 条评论
下一页
