2021开始备考cissp记下的学习过程:第一节
27页开始,163页结束,一共163页,我差不多花了6天时间,课后39道题,错误率26%
- 安全的目标是对数据和资源提供可用性、完整性和机密性保护
- 脆弱性指的是缺少防护措施或防护措施存在能够被利用的缺陷
- 威胁是某人或某物有意或无意地利用某种脆弱性并导致资产损失的可能性
- 风险是威胁主体利用脆弱性的可能性以及相应的潜在损失
- 对策也叫防护措施或控制措施,能够缓解风险
- 控制可以是管理控制性的、技术性的物理性的,能够提供威胁性、预防性、检测性、纠正性、恢复性或补偿性保护
- 补偿性是由于经济或业务功能性原因而采用的备选控制
- COBIT是控制目标架构,允许IT治理
- ISO/IEC 27001是建立、实施、控制和改进信息安全管理体系的标准
- ISO/IEC 27000 系列源自BS7799,是国际上有关如何开发和维护安全计划的最佳实践
- 企业架构框架用来为特定利益方开发架构和呈现视图信息
- 信息安全管理体系ISMS是一套策略、流程和系统的集合,用来管理ISO/IEC 27001中列出的信息资产所面临的风险
- 企业安全架构是企业结构的子集,描述当前和未来的安全过程、体系和子单元,以确保战略一致性
- 蓝图是把技术集成到业务流程的功能性定义
- 企业架构框架用来构建最符合组织需求和业务驱动力的单一架构
- Zachman是企业架构框架,SABSA是安全企业架构框架
- COSO IC是治理模型,用来防止在公司环境内出现欺诈
- ITIL是一套IT服务管理的最佳实践
- 六西格玛用来识别进程中的缺陷,从而对进程进行改造
- CMMI是一个成熟度模型,使进程逐渐以标准化方式改进
- 企业安全架构应该配合战略调整、业务启用、流程改造和安全有效性等
- NIST SP800-53的控制类别分为:技术性的、管理性的和操作性的
- 民法体系:使用预先编写的准则,而不是基于优先权,不同于普通法系统中的民事法
- 普通法体系:由刑法、民法和行政法构成
- 习惯法体系:主要规范个人行为,使用地区传统和习俗作为法律基础,常常与本章讨论的其他法律体系混合使用,而不是作为某个地区的唯一法律体系
- 宗教法体系:法律源于宗教信仰,处理个人宗教责任
- 混合法律体系:使用两种或几种法律体系
- 刑法处理破坏政府法律的个人行为,用于保护公众利益
- 民法处理对个人或公司采取的错误行为,这些行为或造成伤害和破坏,民法的惩罚措施不是坐牢,而通常是要求经济赔偿
- 行政法是政府机构对公司、行业或某些官员的工作情况或行为的期望标准
- 专利承认所有权,并允许所有者合法实施其权利,制止其他人使用专利包含的发明
- 版权保护思想的表达方式,而不是思想本身
- 商标保护单词、名称、产品形状、符号、颜色或这些项的结合,用于标识产品或公司,这些项将某些产品与竞争者的产品区分开来
- 商业秘密是一家公司的所有物,可能是提供竞争优势的信息,只要所有者执行必要的安全动作,信息就会受到保护
- 通过互联网实施的犯罪给执法和法庭带来管辖权问题
- 隐私法规定政府机构收集的数据必须是以公平、合法的方式收集,必须仅用于收集它们的目的,使用的时间必须合理,并且必须准确而及时
- 选择正确的防护措施以减弱某个特定的风险时,必须对成本、功能和效用进行评估,并且需要执行成本/收益分析
- 安全策略是高级管理层决定的一份全面声明,它规定安全在组织内所扮演的角色
- 措施是为了达到特定目标而应当执行的详细的、分步骤的任务
- 标准制定如何使用硬件和软件产品,并且是强制性的
- 基线是最小的安全级别
- 指南是一些推荐和一般性方法,它们提供建议和灵活性
- OCTAVE是团队型的、通过研讨会儿管理风险的方法,通常用于商业部门
- 安全管理应该由顶而下进行
- 风险可以转移、规避、缓解或接受
- 威胁*脆弱性*资产价值=总风险
- (威胁*脆弱性*资产价值)*控制间隙=剩余风险
- 风险分析有下列4个主要目标:确定资产及其价值,识别脆弱性和威胁,量化潜在的威胁的可能性与业务影响,在威胁的影响和对策的成本之间达到预算平衡
- 失效模式和影响分析FMEA是一种确定功能、标识功能失效以及通过结构化过程评估失效原因和失效影响的分析
- 故障树分析是一种有用的方法,用于检测复杂环境和系统中可能发生的故障
- 定量风险分析会尝试为分析中的各个组件指派货币价值
- 纯粹的定量风险分析是不可能的,因为定性项无法被精确量化
- 在执行风险分析时,了解不确定性程度非常重要,因为它表明团队和管理层对于分析数据的信任程度
- 自动化风险分析工具可以减少风险分析中的手动工作量,这些工具用于估计将来的预期损失,并计算各种不同安全措施的好处
- 单一损失预期*年发生比率=年度损失预期(SLE*ARO=ALE)
- 定性风险分析使用判断和直觉而不是数字
- 定性风险分析使富有经验的、接受过相关教育的人基于个人经验来评估威胁场景,并估计每种威胁的可能性、潜在损失和严重程度
- Delphi技术是一种群体决策方法,此时每位成员都可以进行匿名沟通
- 岗位轮换是一种检测欺诈的控制方法
- 职责分离确保没有人能够完全控制一项活动或任务
- 知识分割与双重控制时职责分离的两种方式
- 管理层必须定义安全管理的范围和目的,提供支持,指定安全团队,委托职责,以及查看安全团队发现的结果
- 风险管理团队应当包括来自组织内不同部门的人员,而不应该只是技术人员
- 社会工程是非技术性攻击,指操作某人向未授权的个人提供敏感数据
- 个人可标识信息(PII)是指身份数据的集合,可被用于身份偷窃和金融欺诈,因此必须高度保护
- 安全治理是提供监督、问责和合规的框架
- ISOIIE C27004:2009是信息安全管理的国际化标准
- NIST SP800-55是信息安全绩效考核的标准
- 业务连续性管理(BCM)是指与BCP和DRP的方方面面的管理有关的一种包罗万象的方法
- 业务连续性计划(BCP)包含战略性文档,为保护关键业务功能与帮助降低生命、操作和系统损失提供详尽的措施
- BCP为应急响应、扩展备份操作和灾难后恢复提供措施
- BCP应当涉及整个企业,同时各组织部分应详细制定各自的连续性和意外事故计划
- BCP需要优先考虑关键应用,并为有效恢复提供优先顺序
- BCP需要得到高级行政管理层的支持和最终批准才能启动
- 由于人员更换、机构重组和未经记录的变化,BCP可能很快过时
- 如果没有制定和使用适当的BCP,那么执行主管可能要承担责任
- 威胁可分为自然威胁、人为威胁和技术威胁
- 恢复规划的步骤包括:启动项目,执行业务影响分析,制定恢复战略,指定恢复计划,实现、测试和维护恢复计划
- 项目启动阶段包括:获得管理层的支持,确定计划的作用域,以及保护资金和资源的安全
- 业务影响分析(BIA)是计划制定阶段最重要的首要步骤,这个步骤需要收集、分析、解释定性和定量数据,并将结果提交给管理层
- 制定BCP时,管理层的承诺和支持是最关键的因素
- 必须提交一个业务案例以获得管理层的支持,公司通过说明法律法规要求、指出脆弱性和提供解决方案来完成这项工作
- 业务连续性计划应由实际执行计划的人员制定
- 规划团队成员应由所有部门或组织单元的代表组成
- BCP团队应当制定与外界(新闻界、股东、民事官员)打交道的人,应当对灾难进行迅速、诚实的回应,而且所有员工的回应要保持一致
- ISO/IEC 27031:2011描述了为业务连续性作出的有关信息和通信技术(ICT)方面的准备工作的概念和原则
- ISO 22301是业务连续性管理的英国标准协会的标准
本篇完,谢谢大家~
编辑于 2021-04-06 21:39 (知乎)