导图社区 [CISSP 第9版]第2章人员安全和风险管理的概念

[CISSP 第9版]第2章人员安全和风险管理的概念

这是一篇关于[CISSP 第9版]第2章人员安全和风险管理的概念的思维导图，包含人员安全策略和程序、理解并应用风险管理概念、社会工程等内容。

编辑于2023-12-18 21:40:42

EDcxpkUL

他的近期作品查看更多>>

[CISSP 第9版]第2章人员安全和风险管理的概念
这是一篇关于[CISSP 第9版]第2章人员安全和风险管理的概念的思维导图，包含人员安全策略和程序、理解并应用风险管理概念、社会工程等内容。
[CISSP 第9版]第1章实现安全治理的原则和策略
这是一篇关于[CISSP 第9版]第1章实现安全治理的原则和策略的思维导图，包含管理安全功能、安全策略、标准、程序和指南、威胁建模等。

[CISSP 第9版]第2章人员安全和风险管理的概念

社区模板帮助中心，点此进入>>

EDcxpkUL

他的近期作品查看更多>>

相似推荐
大纲

项目时间管理6大步骤
- 17.5k
- 359
- 898
- 128
MindMaster
项目管理的五个步骤
- 53.2k
- 2.1k
- 2.6k
- 535
MindMaster
电商部人员工作结构
- 7.7k
- 175
- 247
- 14
issen
暮尚正常运转导图
- 7.7k
- 703
- 43
- 0
宋林鉴
产品经理如何做好项目管理
- 7.0k
- 48
- 209
- 10
issen
车队管理
- 3.5k
- 12
- 78
- 4
嘻嘻哈哈
创业者10条创业经
- 1.3k
- 123
- 99
- 0
(*^▽^*)
创业十大思维误区
- 3.5k
- 208
- 407
- 9
(*^▽^*)
管培生课程作业
- 402
- 0
- 7
- 2
18721604724
商业模型
- 2.5k
- 210
- 205
- 17
journey

第2章人员安全和风险管理的概念

2.1 人员安全策略和程序

岗位描述和职责

招聘新员工的过程

创建岗位描述或职位描述

设置工作级别

筛选应聘者

招聘和培训最适合该岗位的人

岗位职责(job responsibilities)指员工常规执行的具体工作任务。

岗位描述并非专用于招聘过程，应在组织的整个声明周期中对它们进行维护。

候选人筛选及招聘

对特定岗位候选人的筛选基于岗位描述多定义的敏感性和分类级别。

背景调查包括

获取候选人的工作和教育背景

检查推荐信

验证学历

访谈同事

核查有关被捕或从事非法活动的警方和政府记录

通过指纹、驾照和出生证明验证身份

进行个人面试

通过查看个人的在线信息，可快速收集到个人的态度、智慧、忠诚、常识、勤奋、诚实、尊重、一致性和遵守社会规范和/或企业文化的总体情况。

对合格的求职者进行面试

入职：雇佣协议及策略

入职是在组织中添加新员工的流程

新员工将被提供一个计算机/网络用户账户

身份和访问管理(identity and access management)

为保证安全，应按最小特权原则分配访问权限。

根据最小特权原则，用户应获得完成工作任务或岗位职责所需的最小访问权限。

签署雇佣协议

可接受的使用策略(AUP)

保密协议(nondisclosure agreement, NDA)

员工监管

在员工的整个雇佣内，管理者应该定期审查或审计每位员工的岗位描述、工作任务、特权和职责。

用于行为分析(user behavior analytics, UBA)

用于与实体行为分析(user and entity behavior analytics, UEBA)

UBA/UEBA监控收集的信息可用于改进人员安全策略、程序、培训和相关的安全监督计划。

离职、调动和解雇流程

离职是与入职相反的一个流程，指在员工离开公司后，将其身份从IAM系统删除。

一个完整的离职流程可能包括禁用或删除用户账户、撤销证书、取消访问代码以及终止其他被特别授予的特权。

在解雇过程中，安全部门和人力资源(HR)部门之间建立牢固的关系对于维持控制和最小化风险是非常重要的。

离职安全事宜

在员工收到解雇通知的同时或在此之前，移除或禁用该员工的用户账户

确保员工已将其交通工具与家中的所有公司设备或用品归还。

安排一名安保人员陪同或解雇员工在工作区域收拾个人物品。

通知所有安保人员、巡查人员或监控出入口的人员，以确保前雇员在没有护送的情况下无法再次进入办公大楼。

解雇：时间就是一切

IT部门要求归还笔记本电脑

禁用网络账户

停工办公场所入口的个人身份识别码或智能卡

撤销停车证

分发公司的重组图表

把新员工安排在他们的隔间内或者工作区域内

允许将解雇信息泄露给媒体

供应商、顾问和承包商的协议和控制

服务水平协议(SLA)是一种确保提供服务的组织在服务提供商、供应商或承包商以及客户组织达成协议的基础上保持适当服务水平的方法。

SLA以及供应商、顾问和承包商的控制是降低风险和规避风险的重要部分。

外包是一个术语，通常是指使用外部第三方，如供应商、顾问或承包商，而不是在内部执行任务或操作。

外包可以作为一个风险应对选项，成为转移或转让风险。

供应商管理系统(VMS)：VMS是一种软件解决方案，可以协助人员配备服务、硬件、软件和其他所需产品和服务的管理和采购。

合规策略要求

合规是符合或遵守规则、策略、法规、标准或要求的行为

合规是一种行政或管理的安全控制形式

合规执法是指对未能遵守策略、培训、最佳时间或法规而实施的制裁或后果。

合规也是一个监管问题。

隐私策略要求

隐私的一些定义

主动防止未经授权访问个人可识别的信息（即直接关联到个人或组织的数据），被成为个人身份信息（PII）。

防止未经授权访问个人的或机密的信息。

防止在未经同意或不知情的情况下被观察、监视或检查。

个人身份信息（personally identifiable information, PII）

姓名

电话号码

电子邮件地址

邮寄地址

社会保险号

IP地址和MAC地址（在德国和其他欧盟成员国在某些情况下）

PII是可以很容易或明显地追溯到原始作者或相关人员的任何数据项。

在隐私方面存在许多法律和法规的合规性问题。

美国的隐私法律

健康保险流通与责任法案(Health Insurance Portability and Accountability Act, HIPAA)

萨班斯-奥克斯利法案(Sarbanes-Oxley Act, SOX)

家庭教育权利和隐私法案(Family Education Rights and Privacy Act, FERPA)

金融服务现代法案

欧盟的隐私法律

通用数据保护条例(GDPR)(条例[EU]2016/679)

2.2 理解并应用风险管理概念

风险管理概念

风险管理是一个详细的过程。

识别可能造成资产损坏或泄露的因素

根据资产价值和控制措施的成本评估这些因素

实施具有成本效益的解决方案来减轻风险

风险管理的主要目标是将风险减低到可接受的水平。

风险管理的两个要素

风险评估或风险分析：指检查环境中的风险，评估每个威胁事件发生的可能性和实际发生后造成的损失，并评估各种风险控制措施的成本。

风险响应：包括使用成本/收益分析的方式评估风险控制措施、防护措施和安全控制，根据其他条件、关注事项、优先事项和资源调整评估结果，并在向高级管理层汇报的报告中给出建议的响应方案。

与风险管理相关的一个概念是风险意识。

风险意识是为提高组织内部风险认知而开展的工作。

风险意识有助于组织了解遵守安全策略的重要性以及安全失效的结果。

IT基础设施面临的风险不只源于计算机方面。

事故

自然灾害

金融威胁

内乱

流行病

物理威胁

技术利用

社会工程

风险术语和概念

资产(asset)

资产估值

威胁(threat)

威胁代理/主体

威胁事件

威胁向量

脆弱性(vulnerability)

暴露(exposure)

风险(risk)

防护措施(safeguard)

攻击(attack)

破坏(breach)

资产估值

基于资产或以资产为起点的风险分析是从清点所有组织资产开始的。

一旦完成清点，就需要对每项资产进行估值。

评估资产的方法

采购成本

开发成本

行政或管理成本

维护或保养费用

资产购置成本

保护或维持资产的成本

对所有者和用户的价值

对竞争对手的价值

知识产权或股票价值

市场估值（可持续的价格）

重置成本

生产率的提高或下降

资产存在和损失的运营成本

资产损失责任

实用性

与研究和开发的关系

识别威胁和脆弱性

风险管理的一个基础部分是识别与检查威胁。

为组织已识别的资产创建一个尽可能详尽的威胁列表。

威胁列表应该包括威胁主体以及威胁事件。

在编制威胁列表事，一定要考虑到各种来源的威胁。

有关威胁示例、概念和分类的详细且正式的清单《NIST SP 800-30 Rev.1》

附录D“威胁来源”

附录E“威胁事件”

执行风险评估和分析的应该是一个团队，而不是单独的个人。

风险评估/分析

风险评估/分析主要是高层管理人员的职责

高级管理人员负责通过定义工作的范围和目标来启动和支持风险分析和评估。

风险是因人而异的，或至少是因组织而异的，基于其资产、威胁、威胁代理/威胁主体及其风险容忍度

风险评估方法

定量风险分析：基于数学计算，用实际的货币价值来计算资产损失

定性风险分析：用主观的和无形的价值来表示资产损失，并考虑观点、感受、直觉、偏好、想法和直觉反应。

风险评估的目标是识别风险（基于资产-威胁组合）并按重要性进行优先级排序。

将定量分析和定性分析混合使用到组织最终的风险评估过程的方式被成为混合评估或混合分析

定性风险分析方法

头脑风暴

故事板

焦点小组

调查

问卷

检查清单

一对一的会议

采访

场景

Delphi技术

定量风险分析方法

编制资产清单，并为每个资产分配资产价值（asset value, AV）

研究每一项资产，列出每一项资产可能面临的所有威胁。形成资产-威胁组合

对于每个资产-威胁组合，计算暴露因子(exposure factor, EF)

对于每个资产-威胁组合，计算单一损失期望(single loss expectancy, SLE)

执行威胁分析，计算每个威胁在一年之内实际发生的可能性，也就是年度发生率(annualized rate of occurrence, ARO)

通过计算年度损失期望(annualized loss expectancy, ALE)得到每个威胁可能带来的总损失。

研究每种威胁的控制措施，然后基于已采用的控制措施，计算ARO、EF和ALE的变化

针对每项资产的每个威胁的每个防护措施进行成本/效益分析。为每个威胁选择最合适的防护措施。

暴露因子(EF)

单一损失期望(SLE)

年度发生率(ARO)

年度损失期望(ALE)

定量风险分析和定性风险分析的比较（图）

风险响应

风险缓解(risk mitigation)

风险转让(risk assignment)

风险威慑(risk deterrence)

风险规避(risk avoidance)

风险接受(risk acceptance)

风险拒绝(risk rejection)

固有风险举例：消防员比普通人员撞到火灾风险更大、职业决定

残余风险

总风险威胁 * 脆弱性 * 资产价格 = 总风险

控制间隙总风险 - 控制间隙 = 残余风险

安全控制的成本与收益

对于每个资产-威胁组合（即已识别的风险），必须编制一份可能的和可用的防护措施清单。

防护措施的年度成本（ACS）的影响因素

购买、开发和许可的成本

实施和定制的成本

年度运营、维护、管理等费用

年度修理和升级的成本

生产率的提高或降低

环境的改变

测试和评估的成本

针对特定资产的特定风险所采用的特定防护措施的成本/收益计算公式

(防护措施实施前的ALE - 防护措施是时候的ALE) - ACS

(ALE1 - ALE2) - ACS

定量风险分析相关的各种公式

选择与实施安全对策

适用的控制类型

安全控制评估

监视和测量

风险报告和文档

持续改进

风险框架

2.3 社会工程

社会工程原理

获取信息

网络钓鱼

鱼叉式网络钓鱼

网络钓鲸

短信钓鱼

语音网络钓鱼

垃圾短信

肩窥

发票诈骗

恶作剧

假冒和伪装

尾随和捎带

垃圾箱搜寻

身份欺诈

误植域名

影响力运动

2.4 建立和维护安全意识、教育和培训计划

安全意识

培训

教育

改进

有效性评估

[CISSP 第9版]第2章 人员安全和风险管理的概念

[CISSP 第9版]第2章 人员安全和风险管理的概念

[CISSP 第9版]第2章人员安全和风险管理的概念

[CISSP 第9版]第2章人员安全和风险管理的概念