CISSP 第2章: 人员安全和风险管理概念

这篇具有很好参考价值的文章主要介绍了CISSP 第2章: 人员安全和风险管理概念。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

第二章 人员安全和风险管理概念
2.1 促进人员安全策略

构建工作描述方面的重要因素包括:
职责分离: 把关键的、重要的和敏感工作任务分配给若干不同的管理员或高级执行者,防止共谋
工作职责:最小特权原则
岗位轮换:提供知识冗余,减少伪造、数据更改、偷窃、阴谋破坏和信息滥用的风险,还提供同级审计,防止共谋
2.1.1 筛选候选人
筛选方法:

背景调查
社交网络账户复审
2.1.2雇佣协议和策略
雇佣协议
保密协议
2.1.3 解雇员工的流程

终止合同的过程: 有证人在场,归坏公司财产,禁止网络访问,进行离职面谈以及由人员护送离开公司。


2.1.4 供应商、顾问和承包商控制
SLA:服务级别协议

2.1.5 合规性
合规是符合或遵守规则、策略、法规、标准或要求的行为

2.1.6 隐私
2.2安全治理
安全治理是支持、定义和指导组织安全工作相关的实践合集
第三方治理: 由法律、法规、行业标准、合同义务或许可要求规定的监督
2.3理解和应用风险管理概念

IT安全只能针对逻辑性或技术性的攻击提供保护;为了保护IT安全性不受物理攻击,就建立建立物理保护措施


2.3.1风险术语
资产: 环境中应该加以保护的任何事物
资产估值: 根据实际的成本和非货币性支出作为资产分配的货币价值
威胁:任何可能发生的、为组织或某些特定资产带来所不希望的或不想要结果的事情
脆弱性:资产中的弱点或防护措施/对策的缺乏被称为脆弱性
暴露:由于威胁而容易造成资产损失,暴露并不意味实施的威胁实际发生,仅仅是指如果存在脆弱性并且威胁可以利用脆弱性
风险:某种威胁利用脆弱性并导致资产损害的可能性 风险 =威胁 * 脆弱性,安全的整体目标是消除脆弱性和㢟长威胁主体和威胁时间危机资金安全,从而避免风险称成为现实
防护措施: 消除脆弱性或对付一种或多种特定威胁的任何方法
攻击: 发生安全机制被威胁主体绕过或阻扰的事情
总结:风险概念之间的关系


2.3.2 识别威胁和脆弱性
IT的威胁不仅限于IT源

2.3.3 风险评估/分析
定量的风险分析

暴露因子(EF): 特定资产被已实施的风险损坏所造成损失的百分比
单一损失期望(SLE):特定资产的单个已实施风险相关联的成本 SLE = 资产价值(AV) * 暴露因子(EF)
年发生占比(ARO):特定威胁或风险在一年内将会发生的预计频率
年度损失期望(ALE):对某种特定资产,所有已实施的威胁每年可能造成的损失成本 ALE = SLE * ARO
计算使用防护措施时的年损失期望
计算防护措施成本(ALE1-ALE2)- ACS
ALE1:对某个资产与威胁组合不采取对策的ALE
ALE2:针对某个资产与威胁组合采取对策的ALE
ACS:防护措施的年度成本
定性的风险分析

场景,对单个主要威胁的书面描述
Delphi技术:简单的匿名反馈和响应过程


2.3.4 风险分配/接受
风险消减:消除脆弱性或组织威胁的防护措施的实施
风险转让:把风险带来的损失转嫁给另一个实体或组织
风险接受:统一接受风险发生所造成的结果和损失
风险拒绝:否认风险存在以及希望风险永远不会发生
总风险计算公式:威胁 * 脆弱 * 资产价值 = 总风险
剩余风险计算公式:总风险 - 控制间隙 = 剩余风险


2.3.5 对策的选择和评估
风险管理范围内选择对策主要依赖成本/效益分析

2.3.6 实施
技术性控制:采用技术控制风险
技术控制示例:认证、加密、受限端口、访问控制列表、协议、防火墙、路由器、入侵检测系统、阀值系统
行政管理性控制:依照组织的安全管理策略和其他安全规范或需求而定义的策略与过程
物理性控制:部署物理屏障,物理性访问控制可以防止对系统或设施某部分的直接访问
2.3.7 控制类型
威慑:为了阻吓违反安全策略的情况
预防:阻止不受欢迎的未授权活动的发生
检测:发现不受欢迎的或未授权的活动
补偿:向其他现有的访问控制提供各种选项
纠正:发现不受欢迎或未授权的操作后,将系统还原至正常的状态
恢复:比纠错性访问控制更高级,如备份还原、系统镜像、集群
指令:指示、限制或控制主体的活动,从而强制或鼓励主体遵从安全策略
2.3.8 监控和测量
安全控制提空的益处应该是可以测量和度量的
2.3.9 资产评估
2.3.10 持续改进
安全性总在不断变化
2.3.11 风险框架
分类 对信息系统和基于影响分析做过处理、存储和传输的信息信息进行分类
选择 基于安全分类选择初始化基线、安全基线
实施 实施安全控制并描述如何在信息系统和操作环境中部署操作
评估 使用恰当的评估步骤评估安全系统
授权
监控 不间断的监控信息系统的安全控制


2.4 建立和管理信息安全教育、培训和意识
培养安全意识的目标是将安全放在首位并且让用户意识到这点

学习层次:学习、培训、教育


2.5 管理安全功能

安全管理功能包括信息安全策略的开发和执行。

执行风险评估以驱动安全政策的施行是最明显、最直接的例子。
安全必须符合成本效益原则
安全必须可度量
————————————————
版权声明:本文为CSDN博主「北航程序员小C」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/Runnymmede/article/details/133364253文章来源地址https://www.toymoban.com/news/detail-775872.html

到了这里,关于CISSP 第2章: 人员安全和风险管理概念的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Active Directory安全和风险状况管理

    风险评估和管理是主动安全性和合规性管理不可或缺的一部分。 发现关键基础设施组件中的风险行为和配置对于阻止网络入侵和预防网络攻击至关重要。 帐户泄露和配置错误漏洞是用于破坏网络的常见技术。 当评估、监控和降低 Active Directory 基础架构的风险时,它可以让管

    2024年02月13日
    浏览(36)
  • 大数据与人工智能:数据安全与风险管理

    随着人工智能(AI)和大数据技术的快速发展,我们的生活、工作和社会都在不断变化。这些技术为我们提供了许多好处,但同时也带来了数据安全和风险管理的挑战。在本文中,我们将探讨大数据与人工智能的数据安全与风险管理,包括背景、核心概念、算法原理、代码实例、

    2024年02月22日
    浏览(49)
  • 企业应将三成AI预算用于管理安全风险

    本周二,科大讯飞因AI内容安全事件导致股价暴跌,同时也给野蛮生长的生成式人工智能行业敲响了警钟。 今天,基于大语言模型的生成式人工智能的安全风险已经从担忧变成现实,黑客只需要通过一些“有毒内容”,或者发布几个恶意网页和图片,就能控制甚至扰乱最先进

    2024年02月06日
    浏览(51)
  • 供应链安全和第三方风险管理:讨论如何应对供应链中的安全风险,以及评估和管理第三方合作伙伴可能带来的威胁

      在当今数字化时代,供应链的安全性越来越受到重视。企业的成功不仅仅依赖于产品和服务的质量,还取决于供应链中的安全性。然而,随着供应链越来越复杂,第三方合作伙伴的参与也带来了一系列安全风险。本文将探讨供应链安全和第三方风险管理的关键问题,并通过

    2024年02月12日
    浏览(42)
  • IT-OT 安全融合是优化风险管理的关键

      最新报告揭示了运营技术检测和响应方面的显着可见性差距。 全球网络安全运营商趋势科技宣布了一项新研究,显示企业安全运营中心 (SOC) 正在将其能力扩展到 OT 领域。 然而,重大的可见性和技能相关的挑战仍然造成障碍。 研究发现,一半的组织现在拥有具有一定 ICS

    2024年02月16日
    浏览(82)
  • API管理风险:如何确保您的API安全与可靠?

    随着数字化时代的到来,应用程序接口(API)在现代软件开发中发挥着关键的作用。然而,API管理过程中存在着各种潜在的风险。本文将探讨如何有效地管理和缓解这些风险,以确保您的API安全、可靠并能够满足业务需求。 API是软件系统之间进行通信和数据交换的桥梁,它允

    2024年02月11日
    浏览(52)
  • 账户风险监测系统精准识别可疑情形 账户分类分级管理保障安全

    近年来,不法分子利用银行机构的网络安全漏洞批量开立个人Ⅱ、Ⅲ类虚假账户,并以虚假账户为鉴权源,在其他银行机构继续开立Ⅱ、Ⅲ类虚假账户,利用所开立的虚假账户从事“薅羊毛”“假冒客户登录并盗取第三方支付平台资金”“兜售虚假账户信息”“诈骗”“洗钱

    2024年04月11日
    浏览(40)
  • 财务风险管理的内容

    财务风险管理的内容 筹资风险来源于两个方面:一是偿债风险。由于借入资金严格规定了借款方式、还款期限和还款金额,如果企业负债较多,而经营管理和现金管理不善,可能导致企业不能按期还本付息,就会产生偿债风险。偿债风险如不能通过财务重整等方式及时加以化

    2024年01月18日
    浏览(49)
  • 【项目管理】CMMI-风险与机会管理过程

    风险与机会概率指的是风险与机会实际发生的可能性。可以用自然语言术语来映射数字概率范围。下表列出了七段概率分级中自然语言术语和数字概率范围映射关系。注意,用来计算的概率值等于概率范围的中间值取整。有了映射表格的帮助,可以通过自然语言表达来在下表

    2024年01月22日
    浏览(55)
  • 软件评测师-风险管理

    风险管理是指要对项目风险进行认真的分析和科学的管理,这样能够避开不利条件、少受损失、取得预期的结果并实现项目目标的,能够争取避免风险的发生或尽量减小风险发生后的影响。但是,完全避开或消除风险,或者只享受权益而不承担风险是不可能的。 风险管理计划

    2024年02月01日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包