山西网站推广公司,物业公司网站建设策划书,手机CPA网站建设源码修改,大学生网页设计作品图片第二章 人员安全和风险管理概念
2.1 促进人员安全策略
职责分离: 把关键的、重要的和敏感工作任务分配给若干不同的管理员或高级执行者#xff0c;防止共谋工作职责:最小特权原则岗位轮换:提供知识冗余#xff0c;减少伪造、数据更改、偷窃、阴谋破坏和信息滥用的风险…第二章 人员安全和风险管理概念
2.1 促进人员安全策略
职责分离: 把关键的、重要的和敏感工作任务分配给若干不同的管理员或高级执行者防止共谋工作职责:最小特权原则岗位轮换:提供知识冗余减少伪造、数据更改、偷窃、阴谋破坏和信息滥用的风险还提供同级审计防止共谋
2.1.1 筛选候选人
筛选方法:
背景调查社交网络账户复审
2.1.2雇佣协议和策略
雇佣协议保密协议
2.1.3 解雇员工的流程
2.1.4 供应商、顾问和承包商控制
SLA:服务级别协议
2.1.5 合规性
合规是符合或遵守规则、策略、法规、标准或要求的行为
2.1.6 隐私
2.2安全治理
安全治理是支持、定义和指导组织安全工作相关的实践合集第三方治理: 由法律、法规、行业标准、合同义务或许可要求规定的监督
2.3理解和应用风险管理概念
2.3.1风险术语
资产: 环境中应该加以保护的任何事物资产估值: 根据实际的成本和非货币性支出作为资产分配的货币价值威胁:任何可能发生的、为组织或某些特定资产带来所不希望的或不想要结果的事情脆弱性:资产中的弱点或防护措施/对策的缺乏被称为脆弱性暴露:由于威胁而容易造成资产损失暴露并不意味实施的威胁实际发生仅仅是指如果存在脆弱性并且威胁可以利用脆弱性风险:某种威胁利用脆弱性并导致资产损害的可能性 风险 威胁 * 脆弱性安全的整体目标是消除脆弱性和㢟长威胁主体和威胁时间危机资金安全从而避免风险称成为现实防护措施 消除脆弱性或对付一种或多种特定威胁的任何方法攻击: 发生安全机制被威胁主体绕过或阻扰的事情总结风险概念之间的关系 2.3.2 识别威胁和脆弱性
IT的威胁不仅限于IT源
2.3.3 风险评估/分析
定量的风险分析
暴露因子(EF) 特定资产被已实施的风险损坏所造成损失的百分比单一损失期望(SLE):特定资产的单个已实施风险相关联的成本 SLE 资产价值(AV) * 暴露因子(EF)年发生占比ARO:特定威胁或风险在一年内将会发生的预计频率年度损失期望ALE:对某种特定资产所有已实施的威胁每年可能造成的损失成本 ALE SLE * ARO计算使用防护措施时的年损失期望计算防护措施成本ALE1-ALE2- ACS ALE1:对某个资产与威胁组合不采取对策的ALEALE2针对某个资产与威胁组合采取对策的ALEACS防护措施的年度成本
定性的风险分析
场景对单个主要威胁的书面描述Delphi技术:简单的匿名反馈和响应过程
2.3.4 风险分配/接受
风险消减消除脆弱性或组织威胁的防护措施的实施风险转让把风险带来的损失转嫁给另一个实体或组织风险接受统一接受风险发生所造成的结果和损失风险拒绝否认风险存在以及希望风险永远不会发生总风险计算公式威胁 * 脆弱 * 资产价值 总风险剩余风险计算公式总风险 - 控制间隙 剩余风险
2.3.5 对策的选择和评估
风险管理范围内选择对策主要依赖成本/效益分析
2.3.6 实施
技术性控制采用技术控制风险技术控制示例认证、加密、受限端口、访问控制列表、协议、防火墙、路由器、入侵检测系统、阀值系统行政管理性控制依照组织的安全管理策略和其他安全规范或需求而定义的策略与过程物理性控制部署物理屏障物理性访问控制可以防止对系统或设施某部分的直接访问
2.3.7 控制类型
威慑为了阻吓违反安全策略的情况预防阻止不受欢迎的未授权活动的发生检测发现不受欢迎的或未授权的活动补偿向其他现有的访问控制提供各种选项纠正发现不受欢迎或未授权的操作后将系统还原至正常的状态恢复比纠错性访问控制更高级如备份还原、系统镜像、集群指令指示、限制或控制主体的活动从而强制或鼓励主体遵从安全策略
2.3.8 监控和测量
安全控制提空的益处应该是可以测量和度量的
2.3.9 资产评估
2.3.10 持续改进
安全性总在不断变化
2.3.11 风险框架
分类 对信息系统和基于影响分析做过处理、存储和传输的信息信息进行分类选择 基于安全分类选择初始化基线、安全基线实施 实施安全控制并描述如何在信息系统和操作环境中部署操作评估 使用恰当的评估步骤评估安全系统授权监控 不间断的监控信息系统的安全控制
2.4 建立和管理信息安全教育、培训和意识
培养安全意识的目标是将安全放在首位并且让用户意识到这点
2.5 管理安全功能
安全必须符合成本效益原则安全必须可度量
