BCP:Business continuity planning当有冲突时,以NIST为准。
NIST SP-800
BIA,一个是等级划分标准,一个是等级分析
BIA分析的结果是制定恢复战略的依据
BCP即预案
预案非常的关键和重要,
认知和培训
维护及演练测试
CISSP国际信息系统安全专家认证培训课程
兼修技术与管理,CISSP帮你成为一名名副其实、可信赖的“安全专家”
价格
¥ 5000.00
学习有效期
360 天(随到随学)
音频听课
手机端支持一键听课
(试一试)
该课程属于 CISSP信息系统安全专业 认证备考班
请加入后再学习
数据泄露法,72小时通知可能手泄露影响的主体。安全责任是不能被委托的,不能转移,不能外包的。
企业最重要的是业务,治理是为业务服务。
组织过程:收购资产也是收购了它的风险。剥离:如资产出售要把信息清除等;治理委员会:
ISO、NIST、COBIT、Sherwood、PCI、FedRAMP
内部治理:政策(策略)
外部治理:法律法规和行业标准,外部是强制性的,是第一位的。
治理有两个目标,一个是绩效,一个是合规,绩效和合规是相辅相成的。安全管理计划(Program)。安全管理是上层管理人员的责任,不是IT人员的责任。
战略:3-5年,战术:1年;操作计划是短期的。
资产剥离要对资产进行净化(sanitized)以防止数据泄露。应移除(removed)和销毁(destroyed)存储介质。
删除、格式化、复写(over writing)、清除purge(采用专门的工具对电脑当中的数据进行清除,难以恢复;介质可二次利用);消磁,针对HDD硬盘。
安全治理委员会:高级管理层--对组织的维护安全负有最终责任;安全专业人员--执行高级管理层的指令,是实施者;资产所有者--负责对信息进行分类和保护的人员,通常是高级管理人员,最终负责资产保护。
托管人:为CIA Triad数据提供充分的保护;
用户:遵守所有的组织政策;
ISO 27000包含一系列国际标准,
NIST 800-53--NIST.org
NIST的答案为准。
COBIT为审核依据;鼓励将IT安全思路映射到业务目标。
管理分战略、战术和运营层面。CEGIT
ITIL是IT服务管理最佳实践的事实标准。
可用性=可访问性
维护可用性:冗余强调组件层级的冗余。如双电源等;容错(tolerance)强调系统层级的,目的是消除单点故障,如cluster等
CIA的对立面是DAD,Disclosure泄露,Alteration修改,Destruction破坏
认证:采用多因素认证
授权:最小权限,职责分离
身份认证和身份识别同时发生
审计Auditing:通过日志进行追溯,主体所有动作是否合法,日志文件最重要,日志完整性很重要。企业通常会有独立的中央日志服务器。重要日志存储在一次性介质。
职业道德,至少1道题
以下内容记住、顺序、理解
s
变更管理
数据分类:
- Public
- Internal
- Confidential
- Restriced Use
分类步骤:
- 确定管理人员井定义他们的职责
- 指定如何对信息进行分类和标记的评估标准。
- 为每个资源进行分类和添加标签(所有者主导这个步骤,但是必须有监督人员进行检查)。
- 記录发现的的分类策略的所有例外,井且将这些例外集成到评估标准中
- 选择应用于每个公类级别的安全控制,从而提供必要的保护级别。
- 指定解除资源分类的过程以及将资源的保管权转移给外部实体的过程。
- 创建一份整个组织范围内都知晓的计划,从而指导所有人员对分类系统的使用。
安全角色和责任
- 高级管理者
- 安全专家
- 数据所有者
- 数据管理员
- 用户
- 审计人员
控制架构COBIT
应尽关注Due Care (管理层)
- 安全政策
- 标准
- 基线
- 指导方针和程序
应尽职责Due Diligence(落地)
机密性
完整性
可用性
IAAAA
- Identification
- Authentication
- Autoriaztion
- Auditing
- Accounting
不可否认行
norepudiation
数据所有者:数据最终负责人
系统所有者:拥有含机密数据的系统的人
业务/任务所有者:项目经理或者信息系统所有者
数据处理者:是用来加工数据的任意系统(包含法人,自然人)
变更管理---正常变更/紧急变更/标准变更
两个原则:
- 未经授权的变更零容忍
- 原则上没有回退方案的变更流程是不允许审批通过的
变更和配置的关系:所有的变更是针对配置项的变更
CMDB:配置管理数据库,用于记录所有配置项的变更信息
变更要包含正式的测试过程,所有的变更都要可撤销
数据分配是为了通过成本效益的方式对数据提供保护,是根据数据的秘密性,敏感性和机密性来保护数据的主要方式
高级管理层必须对所有策略问题签字
数据所有者对所属的数据有管理权和负责
管理和减少安全风险:机密性/完整性/可用性
机密性:避免未授权泄漏
机密性--对立面--泄露
机密性的被破坏:受到未经授权的访问/泄露
机密性的保护措施:加密禁止数据,加密传输,访问控制
加密属于预防性控制措施,属于事前措施。
完整性:未经授权的主题不允许修改
完整性--对立面--修改/篡改
散列验证(哈希验证)--md5验证
CRC:传输循环冗余校验
可用性:经过授权的主体呗及时准许和不间断的访问客体
CIA,机密性、完整性、可用性。
IAAAA,识别、认证、授权、审计、 可问责(不可抵赖)、不可否认。
系统操作日志的重要性。日志非常重要。
安全培训的先决条件是意识
必须让员工知道违反信息安全的后果是什么
1、物理安全:阻拦。拒绝 检测 延缓
2、
1、CBC初始向量 确保完整性 CFB初始向量异常重要 加密效率低
2、计数器模式,
3、RSA 与ECC的比较。ECC更快。消耗资源少
4、IPsec 链路加密,
1、应用白名单
2、BYOD 签署AuP 和数据所有权
1、SAML 网络认证标准。基于web的单点登录解决方案
2、
1、可信平台,对主板上加密处理芯片的描述 TPM芯片。用于存储和管理加密密钥。
2、
1、橘
