.CISSP安全和风险管理

中国教育在线 | 2022-05-31

CISSP安全和风险管理
安全的目标是对数据和资源提供可用性、完整性和机密性保护
脆弱性指的是缺少防护措施或防护措施存在能够被利用的缺陷
威胁是某人或某物有意或无意地利用某种脆弱性并导致资产损失的可能性
风险是威胁主体利用脆弱性的可能性以及相应的潜在损失
对策也叫防护措施或控制措施，能够缓解风险
控制可以是管理控制性的、技术性的物理性的，能够提供威胁性、预防性、检测性、纠正性、恢复性或补偿性保护
补偿性是由于经济或业务功能性原因而采用的备选控制
COBIT是控制目标架构，允许IT治理
ISO/IEC 27001是建立、实施、控制和改进信息安全管理体系的标准
ISO/IEC 27000 系列源自BS7799，是国际上有关如何开发和维护安全计划的最佳实践
企业架构框架用来为特定利益方开发架构和呈现视图信息
信息安全管理体系ISMS是一套策略、流程和系统的集合，用来管理ISO/IEC 27001中列出的信息资产所面临的风险
企业安全架构师企业结构的子集，描述当前和未来的安全过程、体系和子单元，以确保战略一致性
蓝图是把技术集成到业务流程的功能性定义
企业架构框架用来构建最符合组织需求和业务驱动力的单一架构
Zachman是企业架构框架，SABSA是安全企业架构框架
COSO IC是治理模型，用来防止在公司环境内出现欺诈
ITIL是一套IT服务管理的最佳实践
六西格玛用来识别进程中的缺陷，从而对进程进行改造
CMMI是一个成熟度模型，使进程逐渐以标准化方式改进
企业安全架构应该配合战略调整、业务启用、流程改造和安全有效性等
NIST SP800-53的控制类别分为：技术性的、管理性的和操作性的
民法体系：使用预先编写的准则，而不是基于优先权，不同于普通法系统中的民事法
普通法体系：由刑法、民法和行政法构成
习惯法体系：主要规范个人行为，使用地区传统和习俗作为法律基础，常常与本章讨论的其他法律体系混合使用，而不是作为某个地区的唯一法律体系
宗教法体系：法律源于宗教信仰，处理个人宗教责任
混合法律体系：使用两种或几种法律体系
刑法处理破坏政府法律的个人行为，用于保护公众利益
民法处理对个人或公司采取的错误行为，这些行为或造成伤害和破坏，民法的惩罚措施不是坐牢，而通常是要求经济赔偿
行政法是政府机构对公司、行业或某些官员的工作情况或行为的期望标准
专利承认所有权，并允许所有者合法实施其权利，制止其他人使用专利包含的发明
版权保护思想的表达方式，而不是思想本身
商标保护单词、名称、产品形状、符号、颜色或这些项的结合，用于标识产品或公司，这些项将某些产品与竞争者的产品区分开来
商业秘密是一家公司的所有物，可能是提供竞争优势的信息，只要所有者执行必要的安全动作，信息就会受到保护
通过互联网实施的犯罪给执法和法庭带来管辖权问题
隐私法规定政府机构收集的数据必须是以公平、合法的方式收集，必须仅用于收集它们的目的，使用的时间必须合理，并且必须准确而及时
选择正确的防护措施以减弱某个特定的风险时，必须对成本、功能和效用进行评估，并且需要执行成本/收益分析
安全策略是高级管理层决定的一份全面声明，它规定安全在组织内所扮演的角色
措施是为了达到特定目标而应当执行的详细的、分步骤的任务
标准制定如何使用硬件和软件产品，并且是强制性的
基线是最小的安全级别
指南是一些推荐和一般性方法，它们提供建议和灵活性
OCTAVE是团队型的、通过研讨会儿管理风险的方法，通常用于商业部门