《CISSP AIO读书笔记02 gaoyan》由会员分享,可在线阅读,更多相关《CISSP AIO读书笔记02 gaoyan(33页珍藏版)》请在金锄头文库上搜索。
1、CISSP AIO(第五版) 读书笔记第1、2章多为了解知识点,读者了解即可,出考题几率很小。第三章 信息安全与风险管理1、安全管理包括风险管理、信息安全策略、措施、标准、指导原则、基准、信息分类、安全组织和安全教育。2、安全管理的功能包括确定目标、范围、策略、优先级和战略。管理层的职责是为其负责的资源和整个公司提供保护。这些资源的形式包括人力、资本、硬件与信息。3、制订安全计划应该使用自顶向下的方式。启动、支持和指导来自最高管理层,该计划向下到达中级管理层,然后再到普通职员。无论采用何种形式,安全管理者都需要清晰的报告结构、对职责的理解以及测试和监控功能,以便保证不会由于缺少交流而导致计划流
2、产。4、为了实现管理层的安全指标,应当利用:行政管理性控制、技术性控制、物理性控制。5、行政管理性控制包括:开发和发布策略、标准、措施和指导原则;风险管理;人员的筛查;指导安全意识培训;实现变更控制措施。6、技术性控制(也称为逻辑性控制)包括:实现和维护访问控制机制;密码和资源管理;身份标识和身份验证方法;安全设备;基础设施的配置。7、物理性控制包括:控制个人对设施和不同部门的访问;锁定系统;去除不必要的软驱和光驱;保护设施的周边;检测入侵;环境控制。8、安全规划可以分为3个不同的领域:战略规划、战术规划和操作规划。战略规划可能包含以下目标:确保风险被正确理解并得到合理解决;保证遵守法律法规;
3、使整个组织机构的安全责任一体化;建立一个成熟的模型,从而实现持续的完善;将安全作为一项业务成就,以吸引更多的客户。操作规划示例:执行安全风险评估;不允许执行降低生产能力的安全变更;维护和实现控制;长期扫描脆弱性并提供补丁程序;跟踪策略遵守情况。9、COBIT分为4个领域:计划与组织、获取与实现、交付与支持、监控与评估。COBIT的组件包括:执行摘要、管理指导原则、架构、控制目标、实现工具集以及审计指导原则。10、COSO是一个企业治理模型,COBIT是一个IT治理模型。COSO更多面向战略层面,COBIT则更为关注操作层面。从IT角度来看,可以将COBIT视为满足许多COSO目标的一种方式。1
4、1、COBIT定义IT目标,ITIL则在过程级别上就如何实现这些目标提供需要采取的步骤。虽然ITIL是一个安全组件,但是它更加关注IT部门与其服务的内部部门之间的内部服务级协议。12、失效模式和影响分析(FMEA)是一种确定功能、标识功能失效并通过结构化过程评估失效原因和失效影响的方法。我们既可以认为FMEA能够洞察未来并确定潜在的失效领域,也可以认为它能够发现脆弱性,并且在脆弱性转变为真正的障碍之前采取纠正措施。13、使用FMEA保证风险管理的原因是:随着企业更细化地理解风险,风险管理的详细程度、使用的变量和复杂程度也持续增加。随着人们的风险意识不断增强,这种确定潜在缺陷的系统方式正发挥着越
5、来越大的作用。事实证明,在确定更加复杂的环境和系统中可能发生的失效方面,故障树分析方法更为有用。14、安全策略是高级管理层制定的一个全面声明,它规定安全在组织机构内所扮演的角色。安全策略可以是组织化策略,也可以是针对特定问题的策略或针对系统的策略。15、在组织化安全策略中,管理层规定了应该如何建立安全计划,制定安全计划的目标,分配责任,说明安全的战略和战术价值,并且概述了应该如何执行安全计划。这种策略必须涉及相关法律、规章、责任以及如何遵守这些规定。组织化安全策略为组织机构内部未来的所有安全活动提供了范围和方向,还说明了高级管理层愿意接受多大的风险。16、安全策略重要性的全面总结:确定公司认为
6、价值重大的资产;为安全团队及其活动提供权力;在出现与安全有关的冲突时提供审核参考;规定公司的安全目的与目标;明确个人责任;有助于防止未加以说明的事件;定义安全团队的规模及其职能;明确事故响应责任;确定公司如何处理应当关注的法律、法规和标准。17、安全策略可以分为:规章性策略、建议性策略和指示性策略。规章性策略用在保险机构、卫生保健机构、公共设施和其他政府控制的行业中;建议性策略用在医疗信息处理、金融事务或者机密信息处理中。指示性策略不是一种强制性策略,而是用来指导个人与公司相关的特定问题。18、“适当勤奋”=“去检测”,它是使用最佳实践、公认标准和其他工具来识别风险所采取的步骤。“适当关注”=
7、“去纠正”,它指的是纠正确定威胁,或者将其减轻到可接受的风险级别。19、商业公司的信息敏感级别从高到低:机密、隐私、敏感、公开。20、军事机构的信息敏感级别从高到低:绝密、秘密、机密、敏感但非机密、非机密。21、分类规则必须适用于任何格式的数据,这些格式包括数字、纸张、视频、传真、音频等。22、数据正确分类计划的必要步骤:定义分类级别;指定确定如何分类数据的准则;由数据所有者指明其负责的数据的分类;任命负责维护数据及其安全级别的数据看管员;制订每种分类级别所需的安全控制或保护机制;记录上述分类问题的例外情况;说明可用于将信息保管转交给其他数据所有者的办法;建立一个定期审查信息分类和所有权的措施
8、。向数据看管员通报任何变更;指明信息解密措施;将这些问题综合为安全意识计划,让所有员工都了解如何处理不同分类级别的数据。23、SOX法案规定,如果公司不能适当维护内部的企业治理架构,并且公司向SEC上报的财务报表存在错误,那么董事会成员可能要承担个人责任。24、“安全港”这个框架规定,任何组织机构如果需要与欧洲的组织机构交换数据,那么就必须对数据加以保护。25、与其他国家交换数据的跨国公司还必须了解和遵守经济合作与发展组织(OECD)的指导原则和越境信息流规则。26、CSO与CISO的对比:大体而言,与CISO角色相比,CSO角色的职责更为广泛深入。CISO通常更加关注技术问题,并且具有IT背
9、景。CSO则通常需要更深入地理解业务风险,包括物理安全。CSO更多时候是一名商人,通常只有大型组织机构才会设立这个职位。如果某个公司同时设立了这两个角色,那么CISO应当直接向CSO报告。27、信息系统安全指导委员会负责就企业内部的战术和战略安全问题作出总体决策,并且不可以与业务部门有任何联系。成员应当由来自组织机构各部门的人员组成。该委员会应当由CEO领导,同时CFO、CIO、各部门经理和首席内部审计员都应参与其中。该该委员会的一些职责: 定义组织结构的可接受风险级别;确定安全目标和战略;根据业务需求决定安全活动的优先级别;审查风险评估和审计报告;监控安全风险的业务影响;审查重大的安全违规和
10、事故;批准安全策略和计划的任何重要变更。28、审计委员会应由董事会任命,以帮助其审查和评估公司的内部运作、内部审计系统以及财务报表的透明度和准确性,使公司的投资者、客户和债权人继续保持对组织机构的信心。该委员会至少负责: 公司财务报表以及向股东和其他人提供的财务信息的完整性;公司的内部控制系统;独立审计员的雇佣和表现;内部审计功能的表现;遵守与道德有关的法律要求和公司策略。29、审计委员会的目标是在董事会、公司管理层、内部审计员和外部审计员之间提供独立而开放的通信渠道。30、数据所有者并非是一个技术角色,而是一个业务角色。每个部门都应当设立一名数据所有者,由他保护该部门最重要的信息。31、数据
11、分析员负责保证以最佳方式存储数据,从而为需要访问和应用数据的公司与个人提供最大的便利。数据分析员与数据所有者共同合作,帮助保证建立的数据结构符合并支持公司的业务目标。32、审计员最关注的是偏见和客观性问题,由第三方进行审计往往可以避免这种问题。某些情况下,法律条令和法规甚至阻止第三方审计员连续多年为同一个组织机构工作,以防止他们的关系变得过于密切,从而破坏评估和审计的客观性。33、现在的招聘实践一般包括情景提问、个性测试和个人观察,而不是仅仅考察一个人的工作经历。34、进行背景调查的最终目的是同时做到以下几点:减少风险;减少招聘成本;降低员工的流动率。35、知识分割与双重控制是责任与控制分离的
12、两种变化形式。36、安全意识培训应专门为特定团体特别设计,内容广泛,并在整个组织机构内全面施行。一个安全意识培训计划通常至少有3种受众:管理层、职员、技术人员。安全意识培训必须以各种形式重复最重要的信息,其内容应当保持最新,具有娱乐性、积极性和幽默性,并且易于理解。最重要的是,它必须得到高级管理层的大力支持。37、安全管理过程是一个不断循环的过程,它从评估风险和确定需求开始,然后对所涉及的系统和实际应用进行监控与评估,接下来是加强意识,这包括让企业中的所有相关人员都了解需要处理的问题。最后一步是实现用于解决之前定义的风险和需求的策略与控制。38、安全管理者需要清晰的报告结构、对职责的理解以及测
13、试和监控功能,以便保证不会由于缺少交流或理解而导致计划流产。39、信息所有者(也称为数据所有者)是企业最终负责数据保护的人,负责分配信息的机密等级,并且规定应当如何保护信息。40、COSO架构包括下列组件:控制环境;风险评估;控制活动;信息和通信;监控。41、安全治理是一个集成安全组件(产品、人员、培训、流程、策略等)组成的连贯系统,其目标是为了确保组织机构能够持续运营并有望发展壮大。42、定性分析技术包括:判断、最佳实践、直觉和经验。收集数据的定性分析技术示例有:Delphi、集体讨论、情节串联、焦点群体、调查、问卷、检查表、单独会谈以及采访。43、定性方法的缺点:评估方法及结果相对主观;无
14、法为成本/效益分析建立货币价值;使用主观衡量很难跟踪风险管理目标;没有相应的标准。44、定量方法的缺点:计算更加复杂;没有可供利用的自动化工具,这个过程完全需要手动完成;需要做大量基础性的工作,以收集与环境相关的详细信息;没有相应的标准。45、在一般情况下,分层模式意味着在网络的不同层面上实现不同的安全解决方案。这些层面涉及的范围从程序代码、所使用的协议、操作系统、应用程序配置直至用户活动以及控制管理上述所有方面的安全程序。46、结构化的分析方法要求管理员必须清楚地了解以下几点:企业内部数据交换的流程;不同阶段对数据的访问、更改和监控;在不同层中的安全解决方案是如何协同工作的。47、分层模式的
15、意义:了解威胁的发展趋势,以便对系统采取相应的补充措施。48、信息所有者(数据所有者)是企业最终负责数据保护的人,负责分配信息的机密等级,并且规定应当如何保护信息。49、提供机密性的途径:在存储和传输数据时进行加密;使用网络流量填充、严格的访问控制和数据分类;对职员进行适当的相关培训。50、抗击完整性威胁:严格的访问控制;入侵检测;散列运算。51、组织化安全模型是一个框架,这个框架由许多实体、保护机制、逻辑性组件、行政管理性组件、物理性组件、措施、业务过程以及配置组成,这些组件相互协作,从而为系统环境提供一定的安全级别。52、CISO负责深入理解企业的业务流程和目标,然后利用这些信息就威胁企业
16、的风险、必须服从和遵守的政府法规和要求与高级管理层进行沟通,负责对安全事故的响应进行评估,并且制定安全法规遵从计划和确定安全衡量标准。53、COSO架构由下列组件构成:控制环境;风险评估;控制活动;信息和通信;监控。54、安全治理指的是确保实施的安全满足组织机构特殊需求所需的全部工具、人员和业务流程。它需要组织化结构、角色和职责、业绩评估、确定的任务和监督机制。55、安全治理是一个集成安全组件(产品、人员、培训、流程、策略等)组成的连贯系统,其目标是为了确保组织机构能够持续运营并有望发展壮大。56、在大型组织机构内,信息风险管理成员应当使用50%-70%的时间来处理风险管理工作。管理层必须投入资金对此成
