导图社区 CISSP学习笔记-1（实现安全治理的原则和策略）

CISSP学习笔记-1（实现安全治理的原则和策略）

CISSP第一章安全与风险管理的学习笔记和重要习题解析，干货满满，希望对大家有所帮助！

编辑于2024-01-19 11:22:47

CISSP
安全与风险管理

宇尘

他的近期作品查看更多>>

DPIA流程和模板
这是一篇关于DPIA流程和模板的思维导图，主要内容包括：DPIA模版，DPIA概述和范围，如何执行DPIA，可接受的DPIA标准，DPIA解决什么问题，DPIA执行标准。
GDPR全文和解析
本文翻译了GDPR并且添加了解析，深入剖析GDPR的各个方面，可以更好地理解这一法规的重要性，并为企业和个人在数据保护方面提供有益的指导和建议。非常有价值。
信息安全技术、数据安全能力成熟度模型DSMM详解
这是一篇关于信息安全技术、数据安全能力成熟度模型Informatio的思维导图，主要内容包括：附录 C (资料性附录) 能力成熟度等级评估流程和模型使用方法，附录 B (资料性附录) 能力成熟度等级评估参考方法，DSMM架构，附录 A(资料性附录) 能力成熟度等级描述与 GP，DSMM-数据安全过程维度，DSMM-安全能力维度。

CISSP学习笔记-1（实现安全治理的原则和策略）

社区模板帮助中心，点此进入>>

宇尘

他的近期作品查看更多>>

相似推荐
大纲

项目时间管理6大步骤
- 17.3k
- 349
- 891
- 127
MindMaster
项目管理的五个步骤
- 49.1k
- 2.0k
- 2.6k
- 501
MindMaster
电商部人员工作结构
- 7.6k
- 173
- 246
- 15
issen
暮尚正常运转导图
- 7.6k
- 692
- 43
- 0
宋林鉴
产品经理如何做好项目管理
- 7.0k
- 48
- 209
- 10
issen
车队管理
- 3.5k
- 12
- 78
- 4
嘻嘻哈哈
创业者10条创业经
- 1.3k
- 122
- 99
- 0
(*^▽^*)
创业十大思维误区
- 3.5k
- 207
- 407
- 9
(*^▽^*)
管培生课程作业
- 398
- 0
- 7
- 2
18721604724
商业模型
- 2.5k
- 210
- 205
- 17
journey

CISSP学习笔记-1（实现安全治理的原则和策略）

域1-安全与风险管理

CIA三元组

理解和应用安全概念

保密性：

目标-组织或者最小化未经授权的数据访问，保护授权访问的同时防止数据泄露

相关概念、条件和特征

可用性

能被主体使用、学习、控制的状态

可访问性

主体可与资源交互而不考虑主题的能力或限制

及时性

及时、准时，在合理的时间内响应

2可1及

真实性

不可否认性

DAD、过度保护、真实性、不可否认性和AAA服务

DAD三元组：泄露、修改、破坏

过度保护

过度保护保密性-可用性受限

过度保护完整性-可用性受限

过度保护可用性-保密性和完整性受限

真实性

数据可信、非伪造

不可否认性

AAA

核心安全机制认证、授权、记账

标识

身份标识

身份认证

证实身份

授权

访问许可

审计

记录事件和活动日志

记账（问责制）

通过日志文件核查合规和违规情况

问责制的要求

保护机制

纵深防御（分层防御）

多个防护控制，一个失效不会导致系统或者数据暴露

使用串行层，不是并行层

抽象

相似的元素放入组、类、角色中，作为合集被安全控制

引入对象组（类），访问权限和操作权限分配基于对象组

数据隐藏

将数据放在主体无法访问或者读取的逻辑存储空间防止数据被泄露或访问

防止未经授权的访问，限制低级别的主体访问高级别的数据

多级安全系统的特征

加密

安全边界

定义主体对客体执行的功能，不同分类间就是安全边界

物理环境和逻辑环境之间也存在安全边界，物理环境和逻辑环境的安全边界通常相对应

应明确定义安全边界

将安全策略转化为实际控制时，必须分别考虑每个环境和安全边界，权衡要保护对象的价值，匹配相应的保护

评估和应用安全治理原则

安全治理：支持、评估、定义和指导组织安全工作相关的实践集合

第三方治理：法律、法规、行业标准、合同义务或许可要求

文件审查：

管理安全功能

与业务战略、目标、使命和宗旨一致的安全功能

方法：自上而下-安全管理是上层管理人员的责任

安全管理计划内容：定义安全角色，规定如何管理安全，谁负责安全以及如何检验安全有效性，制定安全策略，执行风险分析，安全教育

安全管理计划

战略计划

长期计划，5年，包括风险评估

战术计划

中期计划，1年，项目计划，收购计划，招聘计划，预算计划，维护计划，开发计划，支持计划

操作计划

短期计划

组织流程

组织的角色与责任

高级管理者

对组织安全的维护负有最终责任，关注对组织资产的保护

安全专业人员

实施者，包括编写和实施安全策略，负有职能责任

资产所有者

托管员

用户

审计人员

负责审查和验证安全策略是否正确实施以及相关安全解决方案是否完备

安全控制框架

安全规划第一步

应用最广泛的框架：信息和相关技术控制目标-COBIT

COBIT原则

为利益相关方创造价值

采用整体分析法

动态治理系统

把治理从管理中分离出来

根据企业需求量身定制

采用端到端的治理系统

其它IT标准和指南

NIST SP 800-53 Rev.5

互联网安全中心-CIS

NIST风险管理框架-RMF

NIST网络安全框架-CSF

ISO/IEC 27000

信息技术基础实施库-ITIL

应尽关心和尽职审查

应尽关心

制定一种正式的安全框架，包括安全策略、标准、基线、指南和程序

是知道应该做什么并为此制定计划

尽职审查

将安全框架持续应用到组织的IT基础设施上

是在正确的时间采取正确的行动

运营安全

组织内所有责任相关方持续实施应尽关心和尽职审查

安全策略、标准、程序和指南

安全策略

四个组成部分：策略、标准、指南和程序

规范化的最高层级文件

安全标准、基线和指南

安全程序

威胁建模

识别、分类和分析威胁的安全过程

识别威胁

STRIDE分类方法

欺骗-Spoofing

篡改-Tampering

否认-Repudiation

信息泄露-Information Disclosure

拒绝服务-DoS

特权提升-Elevation Privilege

PASTA建模方法

VAST可视化、敏捷和简单威胁

确定和绘制潜在的攻击

执行简化分析

安全分解的五个关键概念

信任边界

数据流路径

输入点

特权操作

安全声明和方法的细节

优先级排序和响应

DREAD评级系统

潜在破坏

可再现性

可利用性

受影响用户

可发现性

将基于风险的管理理念应用到供应链

2-考试要点

1. 理解保密性、完整性和可用性组成的CIA三元组

2. 掌握身份标识如何工作

3. 理解身份认证过程

4. 了解授权如何用于安全计划

5. 解释审计过程

6. 理解问责制的重要性

7. 解释不可否认性

8. 了解纵深防御

9. 能够解释抽象的概念

10. 理解数据隐藏

11. 了解安全边界

12. 理解安全治理

13. 了解第三方治理

14. 理解文件审查

15. 理解与业务战略、目标、使命和宗旨一致的安全功能

16. 了解业务场景

17. 理解安全管理计划

18. 了解规范化安全策略的组成要素

19. 理解组织的流程

20. 理解关键的安全角色

21. 了解COBIT的基础知识

22. 理解应尽关心和尽职审查

23. 了解威胁建模的基础知识

24. 理解供应链风险管理概念

3-重要练习题和解析

1. 关于安全治理，以下说法正确的是： A. 鉴于已通过验证的身份被赋予的权利和特权，安全治理确保被请求的活动或对课题的访问是可以实现的。 B. 安全治理是为了提高效率。相似的元素被放入组、类或者角色中，作为一个集合被指派安全控制、限制和许可。 C. 安全治理是一套记录IT最佳安全实践的文档。它规定了安全控制的目标和需求，并鼓励将IT安全思路映射到业务目标。 D. 安全治理旨在将组织内所有的安全流程和基础设施与外部来源获得的知识和见解进行对比

正确答案：D 考察安全治理的含义： 1. 安全治理是与支持、评估、定义和指导组织安全工作相关的实践集合 2. 最理想-董事会执行，规模较小-CEO或CISO 3. 安全治理旨在将组织内所有的安全流程和基础设施与外部来源获得的知识和见解进行对比

2. 某组织处于业务扩张期，正在进行大量的兼并和收购。组织担心与这些活动的风险。以下哪些项是这些风险的示例： A. 不恰当的信息披露 B. 提高人员合规性 C. 数据丢失 D. 停机 E. 输入了解内部攻击的动机 F. 未获得足够的投资回报

正确答案：ACDF 考察组织流程，在收购、资产剥离和治理委员会的组织流程。 1. 并购- 2. 资产剥离，资产减少和员工裁减-对资产净化防止数据泄露，删除销毁存储介质，对于员工，离职面谈

3. COBIT原则： A. 采用整体分析法 B. 采用端到端的治理系统 C. 为利益相关方创造价值 D. 保持真实性和问责制 E. 动态治理系统

正确答案：ABCE 考查COBIT原则

4. 应尽关心和尽职审查的说法正确的是： A. 应尽关心是制定计划、策略、流程以保护组织的利益 B. 尽职审查是制定一种正式的安全框架，保护安全策略、标准、基线、指南和程序 C. 应尽关心是将安全框架持续应用于组织的IT基础设施 D. 尽职审查是实践那些维持安全工作的活动 E. 尽职审查是知道应该做什么并为此制定计划 F. 应尽关心是在正确的时间采取正确的行动

争取答案：AD 考场应尽关心和尽职审查

5. 基线-定义了整个组织中每个系统必须满足的最低安全级别策略-一份文档，定义了组织所需的安全范围，讨论需要保护的资产以及安全解决方案需要提供的必要保护程度标准-对硬件、软件、技术和安全控制方法的一致性定义了强制性要求程序-一个详细的分布实施文档，描述了实现特定安全机制、控制或解决方案所需的具体操作指南-提供了关于如何实现安全需求的建议，并且是安全专业人员和用户的操作指南

7. 开发团队正在开发一个新项目。在开发早期阶段，团队考虑起解决方案的漏洞、威胁和风险，并集成保护措施以防止非预期的结果。这是那种威胁建模概念： A. 威胁狩猎 B. 主动式方法 C. 定性方法 D. 对抗性方法

正确答案：B 主动式威胁建模方法，也称防御式方法响应式方法或对抗性方法是在产品创建与部署后进行威胁建模，也称威胁狩猎定性方法是风险评估方式

8. C的雇主要求他对第三方供应商的政策和程序进行文件审查。C发现供应商的问题：没有对通信加密，为要求采用多因素身份认证，C如何应对： A. 写一份报告并提交CEO B. 取消供应商的ATO C. 要求供应商审查其条款与要求 D. 让供应商签署NDA

正确答案：B

9. 以下哪种是以风险为中心的威胁建模方法，旨在根据被保护资产的价值选择或开发对策： A. VAST B. SD3+C C. PASTA D. STRIDE

正确答案：C 攻击模拟和威胁分析过程PASTA是一种以风险为核心旨在选择或开发与要保护资产价值相关的防护措施可视化，敏捷和简单威胁VAST是一种在可扩展的基础上将威胁和风险管理集成到敏捷编程环境中的威胁建模概念 SD3+C微软使用，设计安全、默认安全，部署和通信安全，安全开发生命周期SDL STRIDE是微软开发的一种威胁分类方案

10. 威胁建模的下一步是执行简化分析，也称分写应用程序、系统或环境。以下哪些是执行分解时要识别的关键组件： A. 补丁或版本更新 B. 信任边界 C. 数据流路径 D. 开放与关闭源代码使用 E. 输入点 F. 特权操作 G. 安全声明和方法的细节

正确答案：BCEFG 分解的五个关键概念：信任边界，数据流路径，输入点，特权操作以及安全声明和方法的细节

11. 纵深防御的相关术语：分层，分类，分区，分域，隔离，孤岛，分段，格结构，保护环