CISSP 8 大知识域- 安全和风险管理
2023-12-14 13:42:08 0 举报
AI智能生成
CISSP 8 大知识域 - 安全和风险管理 后续会继续推出其它七个知识域,谢谢多多关注
作者其他创作
大纲/内容
资产
资产价值
信息
过程
人员
脆弱性
关注资产
关注攻击者
关注软件
识别威胁
存在的漏洞
可行的攻击
有能力的威胁
威胁建模
威胁
欺骗
篡改
否认
拒绝服务
特权提升
攻击
漏洞
暴漏
风险
概念
确定资产及其价值
识别脆弱性和威胁
量化潜在威胁的可能性和业务影响
在威胁的影响和对策的成本之间达到预算的平衡
目标
年度预期损失ALE=单一预期损失SLE8年度发生率ARO
单一预期损失SLQ=资产价值AV*暴漏因子EF
定量分析
定性分析
风险评估与分析
转移
规避
缓解
接受
风险处置
行政控制
技术控制
物理控制
风险控制
威慑
预防
检测
补偿
纠正
恢复
控制类型
INST RMF(SP 800-37r1) - 美国政府强制采用
ISO31000:2009-广泛适用于组织
OCTAVE和AS/NZS4360基于公司
ISACA IT-与COBIT 完美结合
COSO-继承的框架
风险管理框架RMF
软、硬件、服务相关的风险
第三方评估与监控
服务水平要求
最低安全要求
供应链(外包)风险管理
风险管理
业务组织分析
BCP团队选择组建
资源要求
法律合规性
项目管理范围与计划
最大停机时间MTO
RTO与RPO
优先性
风险识别
可能性评估
影响评估
资源优先级划分
业务影响分析BIA
策略开发
预备/处理
计划审批
计划实现
培训/教育
业务连续性
连续性计划目标
重要性声明
优先级声明
组织职责声明
紧急程度和时限声明
风险评估
可接受的风险/缓解
重大事件记录
变更记录
维护
测试
BCP文档化
业务连续性计划
民法
刑法
民法民事侵权行为
行政(管理)法
普通法
习惯法
宗教发
混合法系
法律体系
计算机犯罪与信息泄露
商业秘密
版权
商标
专利
软件许可
知识产权
进出口控制
安全港
跨境数据传输
隐私法案
员工隐私保护
隐私问题
法律法规
合同、法律、法规、行业标准
隐私
合规性需求
保护社会、公共利益,必要的公共信任和信心
行为得体、诚实、公正,遵守法律
为委托人提供尽职和胜任的服务
保护和促进行业发展
ISC2 道德规范
企业道德规范
道德
法律与道德
数据加密
传输加密
访问控制
机密性 Confidentiality
配置管理
变更管理
访问管理
散列、签名
完整性 Integrity
冗余硬件
数据备份
集群
负载均衡
可用性 Avaliability
三元组
真实性和不可抵赖性
泄露 Disclosure
篡改 Alteration
破坏 Destruction
反向三元组
系统中允许威胁来破坏安全性得缺陷
脆弱性 Vulnerability
利用脆弱性带来得潜在危险
威胁 Threat
威胁源利用脆弱性的可能性及相应的业务影响
风险 Risk
造成损失的实例
暴漏 Exposure
安全术语
逻辑(技术)控制
管理控制
类型
功能
安全控制
基本概念
安全必须与业务战略、目标、任务保持一致
ISO 27000 系列
Zachman
SABSA
DoGAF、MoGAF 广泛应用于军事
TOGAF
架构
商业组织(偏 IT 治理)
COBIT
联邦政府
NIST SP 800-53
商业组织
COSO
控制
ITIL
六西格玛
无管理
过程不可预测
过程可重复
过程可定义
过程可管理
过程可优化
能力成熟度模型 CMMI
流程
风险管理框架
安全治理和体系框架
标准
基线
指南
措施
实施
安全策略
注意西方文化,这里是指董事会
高级管理层
安全委员会
审计委员会
风险管理委员会
委员会
首席信息官 CIO
首席安全官 CSO
信息安全专家
组织架构
高层定义政策、策略
中层定义标准、基线、指南和程序
业务经理、安全专家实施
用户遵守执行
安全职责
数据所有者
数据管理员
系统所有者
安全管理员
审计员
用户
分类
背景调查
保密协议
人员录用
职责分离
按需知晓
最小特权
轮岗
强制休假
在职控制
权限回收
禁用流程
离职控制
展示的技术(社会工程、网络钓鱼。。。)
展示的方法(员工手册、屏幕横幅、海报。。。)
定期内容审查
程序有效性评估
安全意识和培训
策略、组织和人员
CISSP 8 大知识域- 安全和风险管理
0 条评论
回复 删除
下一页