

首页  思维导图  详情



CISSP 8 大知识域- 安全和风险管理

2023-12-14 13:42:08   0  举报





AI智能生成

CISSP 8 大知识域 - 安全和风险管理后续会继续推出其它七个知识域，谢谢多多关注

CISSP考试

(ISC)²注册信息系统

信息安全

公共知识体系

构建及管理组织的安全态势

模版推荐

作者其他创作

大纲/内容

风险管理

概念

资产

资产价值

脆弱性

信息

过程

人员

威胁

识别威胁

关注资产

关注攻击者

关注软件

威胁建模

存在的漏洞

可行的攻击

有能力的威胁

攻击

欺骗

篡改

否认

拒绝服务

特权提升

漏洞

暴漏

风险

目标

确定资产及其价值

识别脆弱性和威胁

量化潜在威胁的可能性和业务影响

在威胁的影响和对策的成本之间达到预算的平衡

风险评估与分析

定量分析

年度预期损失ALE=单一预期损失SLE8年度发生率ARO

单一预期损失SLQ=资产价值AV*暴漏因子EF

定性分析

风险处置

转移

规避

缓解

接受

风险控制

行政控制

技术控制

物理控制

控制类型

威慑

预防

检测

补偿

纠正

恢复

风险管理框架RMF

INST RMF(SP 800-37r1) - 美国政府强制采用

ISO31000:2009-广泛适用于组织

OCTAVE和AS/NZS4360基于公司

ISACA IT-与COBIT 完美结合

COSO-继承的框架

供应链（外包）风险管理

软、硬件、服务相关的风险

第三方评估与监控

服务水平要求

最低安全要求

业务连续性计划

项目管理范围与计划

业务组织分析

BCP团队选择组建

资源要求

法律合规性

业务影响分析BIA

优先性

最大停机时间MTO

RTO与RPO

风险识别

可能性评估

影响评估

资源优先级划分

业务连续性

策略开发

预备/处理

计划审批

计划实现

培训/教育

BCP文档化

连续性计划目标

重要性声明

优先级声明

组织职责声明

紧急程度和时限声明

风险评估

可接受的风险/缓解

重大事件记录

变更记录

维护

测试

法律与道德

法律体系

民法

普通法

刑法

民法民事侵权行为

行政（管理）法

习惯法

宗教发

混合法系

法律法规

计算机犯罪与信息泄露

知识产权

商业秘密

版权

商标

专利

软件许可

进出口控制

跨境数据传输

安全港

隐私问题

隐私法案

员工隐私保护

合规性需求

合同、法律、法规、行业标准

隐私

道德

ISC2 道德规范

保护社会、公共利益，必要的公共信任和信心

行为得体、诚实、公正，遵守法律

为委托人提供尽职和胜任的服务

保护和促进行业发展

企业道德规范

基本概念

三元组

机密性 Confidentiality

数据加密

传输加密

访问控制

完整性 Integrity

配置管理

变更管理

访问管理

散列、签名

可用性 Avaliability

冗余硬件

数据备份

集群

负载均衡

真实性和不可抵赖性

反向三元组

泄露 Disclosure

篡改 Alteration

破坏 Destruction

安全术语

脆弱性 Vulnerability

系统中允许威胁来破坏安全性得缺陷

威胁 Threat

利用脆弱性带来得潜在危险

风险 Risk

威胁源利用脆弱性的可能性及相应的业务影响

暴漏 Exposure

造成损失的实例

安全控制

类型

物理控制

逻辑（技术）控制

管理控制

功能

预防

检测

纠正

威慑

恢复

补偿

安全治理和体系框架

安全必须与业务战略、目标、任务保持一致

风险管理框架

架构

ISO 27000 系列

Zachman

SABSA

TOGAF

DoGAF、MoGAF 广泛应用于军事

控制

COBIT

商业组织（偏 IT 治理）

NIST SP 800-53

联邦政府

COSO

商业组织

流程

ITIL

六西格玛

能力成熟度模型 CMMI

无管理

过程不可预测

过程可重复

过程可定义

过程可管理

过程可优化

策略、组织和人员

安全策略

标准

基线

指南

措施

实施

组织架构

高级管理层

注意西方文化，这里是指董事会

委员会

安全委员会

审计委员会

风险管理委员会

首席信息官 CIO

首席安全官 CSO

信息安全专家

安全职责

高层定义政策、策略

中层定义标准、基线、指南和程序

业务经理、安全专家实施

用户遵守执行

人员

分类

数据所有者

数据管理员

系统所有者

安全管理员

审计员

用户

人员录用

背景调查

保密协议

在职控制

职责分离

按需知晓

最小特权

轮岗

强制休假

离职控制

权限回收

禁用流程

安全意识和培训

展示的技术（社会工程、网络钓鱼。。。）

展示的方法（员工手册、屏幕横幅、海报。。。）

定期内容审查

程序有效性评估

 Collect

Get Started

安全信息

 Collect

Get Started

CISSP认证8大领域

 Collect

Get Started

风险管理

 Collect

Get Started

CISSP考试第1章安全与风险管理





0 条评论

下一页