《信息安全治理和风险管理讲解》由会员分享,可在线阅读,更多相关《信息安全治理和风险管理讲解(73页珍藏版)》请在金锄头文库上搜索。
1、信息安全治理和风险管理 Information Security Governance and Risk Management CISSP第六版培训课件之一 关键知识领域 A. Understand and align security function to goals, mission and objectives of the organization 理解安全功能并将其与机构目标、使命和宗旨相结合 B. Understand and apply security governance 理解并运用安全治理 B.1 Organizational processes (e.g., acqui
2、sitions, divestitures, governance committees) 组织过程(如收购、分拆、治理委员会) B.2 Security roles and responsibilities 安全角色与职责 B.3 Legislative and regulatory compliance 法律和监管的合规 B.4 Privacy requirements compliance 隐私要求的合规 B.5 Control frameworks 控制框架 B.6 Due care 尽职关注 B.7 Due diligence 尽职调查 关键知识领域 C. Understand an
3、d apply concepts of confidentiality, integrity and availability 理解并运用保密性、完整性与可用性的概念 D. Develop and implement security policy 制定并施行安全政策 D.1 Security policies 安全政策 D.2 Standards/baselines 标准/基准 D.3 Procedures 程序 D.4 Guidelines 方针 D.5 Documentation 文件编制 E. Manage the information life cycle (e.g., class
4、ification, categorization, and ownership) 管理信息的生命周期(如分类、归类与所有权) F. Manage third-party governance (e.g., on-site assessment, document exchange and review, process/policy review) 管理第三方治理(如现场评估、文件交换及审查,过程/政策审查) 关键知识领域 G. Understand and apply risk management concepts 理解并运用风险管理的概念 G.1 Identify threats an
5、d vulnerabilities 身份识别的威胁与漏洞 G.2 Risk assessment/analysis (qualitative, quantitative, hybrid) 风险评估/分析(定性型、定量型、混合型) G.3 Risk assignment/acceptance 风险分配/接纳 G.4 Countermeasure selection 对策选择 G.5 Tangible and intangible asset valuation 对有形资产和无形资产的评估 H. Manage personnel security 管理人员安全 H.1 Employment can
6、didate screening (e.g., reference checks, education verification) 求职者甄选(如证明人核实、教育背景查证) H.2 Employment agreements and policies 雇佣协议与政策 H.3 Employee termination processes 员工解雇流程 H.4 Vendor, consultant and contractor controls 销售方、顾问与承包商控制 关键知识领域 I. Develop and manage security education, training and aw
7、areness 发展并管理安全教育、安全培训与安全意识 J. Manage the Security Function 管理安全功能 J.1 Budget 预算 J.2 Metrics 衡量标准 J.3 Resources 资源 J.4 Develop and implement information security strategies 开发并实施信息安全策略 J.5 Assess the completeness and effectiveness of the security program 评估安全项目的完整性与有效性 目录 安全基本原则(Fundamental Principl
8、es of Security) 安全定义(Security Definitions) 控制类型(Security Definitions) 安全架构(Security Frameworks) 安全管理(Security Management) 风险管理(Risk Management) 风险评估和分析(Risk Assessment and Analysis ) 策略、标准、基线、指南和流程(Policies, Standards, Baselines, Guidelines, and Procedures) 信息分级(Information Classification ) 责任分层(Lay
9、ers of Responsibility) 安全指导委员会(Security Steering Committee ) 安全治理(Security Governance ) 安全基本原则 Fundamental Principles of Security 保密性(Confidentiality) 确保信息在存储、使 用、传输过程中不会泄漏给非授权用户或实体。 完整性(Integrity) 确保信息在存储、使用、传 输过程中不会被非授权篡改,防止授权用户或实体不 恰当地修改信息,保持信息内部和外部的一致性。 可用性(Availability) 确保授权用户或实体对 信息及资源的正常使用不会被
10、异常拒绝,允许其可靠 而及时地访问信息及资源。 CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组: D D isclosure A A lteration D D estruction 泄漏泄漏 破坏破坏 篡改篡改 安全基本原则 可用性(Availability ) 确保授权的用户能够及时、可靠地访问数据和资源 完整性(Integrity) 保证信息和系统的准确性和可靠性,并禁止对数据的非授 权更改 保密性(Confidentiality) 强制实施了必要的保密级别,防止为经授权的信息披露 肩窥(Shoulder surfing) 通过穿过别人的肩膀获取未经授权的信息的一种
11、方法 社会工程(Social engineering) 通过欺骗他人获取未经授权访问的信息 安全基本原则 平衡的安全 安全目标 Security Objectives 可用性 Availability 保密性 Confidentiality 完整性 Integrity 安全定义 Security Definitions 威胁因素 (Threat agent) 威胁 (Threat ) 脆弱性 (vulnerability ) 风险 (Risk ) 资产 (Asset ) 暴露 (exposure) 安全措施 (Safeguard) Gives rise to 引起 Exploits 利用 le
12、ads to 导致 Can damage 可以破壶 And causes an 并且引起 Can be counter measured by a 能够被预防 Directly affects 直接作用到 安全定义 脆弱性(vulnerability ) 一种软件、硬件或者过程缺陷。并可以给攻击者提供便 利,产生未授权的访问。 威胁( threat ) 任何对信息或系统潜在的威胁 风险(risk ) 威胁因素利用脆弱性所造成的损失的潜在的可能性。 暴露(exposure ) 因威胁因素而遭受损失的一个案例 对策(countermeasure, or safeguard ) 可以减轻潜在风险的策
13、略或者安全措施 威胁 threat 暴露 exposure 脆弱性 vulnerability 对策 countermeasur e 风险 risk 控制类型 Security Definitions 控制类型Control types :管理控制、技术控制和物理 控制 控制功能Control functionalities: 威慑Deterrent 挫败潜在攻击者。 预防Preventive 防止意外事件发生。 纠正Corrective 事件发生后修复。 恢复Recovery 恢复必要的组件到正常的操作状态。 检测Detective 事件发生后识别其行为。 补偿Compensating 向原
14、来的控制措施那样提供类似保 护要。 深度防御Defense-in-depth 为使成功渗透和威胁更难实现而采用多种控制措施。 安全架构(Security Frameworks) Security Blueprints 安全蓝图蓝图 COSO ITILR ISFCOBIT ISO 27000 安全框架 COSO 反舞弊财务报告委员会发起组织委员会(COSO)-成立于1985年, 负责主持全美反虚假报告委员会工作,根据研究结果向上市公司及 其审计师、证劵交易委员会以及其他监管机构提出建议。 COBIT COBIT 是由IT治理协会发布的IT治理框架和支持工具集。目前, ISACA正在推出新COBI
15、T 5框架的支持模块,使用术语“管理过程 ”代替了原来的“控制措施”。 ITIL 信息技术基础设施库(ITIL)第3版包括五本书,涵盖了服务管理的 整个生命周期。 ISO/IEC 27000 ISO/IEC 27000系列标准提供了整个信息安全管理体系环境下的信 息安全管理、风险和控制的最佳实践推荐。 ISF 信息安全论坛(ISF)-最佳实践标准给出了实践指南和解决方案来 处理目前影响业务信息的大范围安全挑战。 安全管理(Security Management) 信息安全的成败取决于两个因素:技术和管理。 技术是信息安全的构筑材料,管理是真正的粘合剂和催化 剂。 人们常说,三分技术,七分管理,可见管理对信息安全的 重要性。 信息安全管理(Information Security Management) 作为组织完整的管理体系中一个重要的环节,其主要 活动包括:识别信息资产及相关风险,采取恰当的策 略和控制措施以消减风险,监督控制措施有效性,提 升人员安全意识等。 根据风险评估结果、法律法规根据风险评估结果、法律法规 要求、组织业务运作自身需要来确要求、组织业务运作自身需要来确 定控制目标与控制措施。定控制目标与控制措施。 实施所选的安全控制措施。提实施所选的安全控制措施。提 升人员安全意识。升人员安全意识。 针对检查结果采取应对针对检查结果采取应对 措施,改进安全状况。措
