导图社区 CISSP学习笔记-域1(安全和风险管理)
- 87
- 1
- 0
- 举报
CISSP学习笔记-域1(安全和风险管理)
CISSP考试复习,域1安全和风险管理部分的知识点总结和重要习题,干货满满,有需要的朋友赶紧收藏吧!
编辑于2024-02-12 08:29:54- CISSP
- DPIA流程和模板
这是一篇关于DPIA流程和模板的思维导图,主要内容包括:DPIA模版,DPIA概述和范围,如何执行DPIA,可接受的DPIA标准,DPIA解决什么问题,DPIA执行标准。
- GDPR全文和解析
本文翻译了GDPR并且添加了解析,深入剖析GDPR的各个方面,可以更好地理解这一法规的重要性,并为企业和个人在数据保护方面提供有益的指导和建议。非常有价值。
- 信息安全技术 、数据安全能力成熟度模型DSMM详解
这是一篇关于信息安全技术 、数据安全能力成熟度模型Informatio的思维导图,主要内容包括:附 录 C (资料性附录) 能力成熟度等级评估流程和模型使用方法,附 录 B (资料性附录) 能力成熟度等级评估参考方法,DSMM架构,附 录 A(资料性附录) 能力成熟度等级描述与 GP,DSMM-数据安全过程维度,DSMM-安全能力维度。
CISSP学习笔记-域1(安全和风险管理)
社区模板帮助中心,点此进入>>
- DPIA流程和模板
这是一篇关于DPIA流程和模板的思维导图,主要内容包括:DPIA模版,DPIA概述和范围,如何执行DPIA,可接受的DPIA标准,DPIA解决什么问题,DPIA执行标准。
- GDPR全文和解析
本文翻译了GDPR并且添加了解析,深入剖析GDPR的各个方面,可以更好地理解这一法规的重要性,并为企业和个人在数据保护方面提供有益的指导和建议。非常有价值。
- 信息安全技术 、数据安全能力成熟度模型DSMM详解
这是一篇关于信息安全技术 、数据安全能力成熟度模型Informatio的思维导图,主要内容包括:附 录 C (资料性附录) 能力成熟度等级评估流程和模型使用方法,附 录 B (资料性附录) 能力成熟度等级评估参考方法,DSMM架构,附 录 A(资料性附录) 能力成熟度等级描述与 GP,DSMM-数据安全过程维度,DSMM-安全能力维度。
- 相似推荐
- 大纲
CISSP学习笔记-域1(安全和风险管理)
知识点
1.2.CIA三元组
保密性 (Confidentiality)
保密性是指防止未经授权的实体(无论是人还是程序)对信息资产进行访问。
完整性 (Intearitv)
完整性保护可以防止对数据进行未经授权的更改。
可用性 (Availability)
可用性意味着投权主体被授予及时和不间断地访问对象。
真实性 (Authenticitv)
真实性是一个安全概念,即数据是真实的或真正的,来自其声称的来源,包含:完整性和不可否性。
不可否认性
不可否认性确保一个活动的主体或造成一个事件的人不能否认该事件的发生。
均衡的安全 (Balanced Security)
每个组织根据自身的情况不同,考虑 CIA 的优先級会有所不同。
1.3评估和应用安全治理原则
安全功能与业务战略、目标相一致
当建立你的组织的安全功能时,你应该首先设计一个与你的组织的整体商业战略和使命宣言相一致的安全战略。你应该制定一套具体的、可街量的、可实现的、相关的和有时限的目标和目的,以帮助你有效地维护公司系统和信息的机密性、完整性和可用性,而不破坏你的组织实现其业务目标和目的的能力。
运行一个有效的安全计划需要仔细考虑业务需求和组织战路,以及法律和合规要求,并需要在整个组织内进行治理以管理安全功能的有效性。
1.3.1.组织的流程
安全治理
治理委员会 (Governance Committees)
治理委员由负责管理组织所有风险的高管组成,主要目标是为组织的安全功能提供监督,同时确保安全功能继续鴻足组织及其利益相关者的两求。他们会事查正在进行和计划进行的项目、远替指标以及可能涉及整个企业的任何其他安全事项。
合井与收购 (M&A)
每一次收购都会带来一系列独特的情况,来自两个组织的安全专家应该聚在一起,评估每个组织的安全控制,并找出如何消除冗余,确保系统之问的蓑容性。
可能的风险点:
•未知的内容:IT设施、安全控制和流程等如何与現有系統集成?
•新的攻击教体:如当前组织只使用 Windows 和 Linux 系統,收购的组织使用Macos 系统。
•对资源的影响:現有的人手能否在既保障現有功能正常运行。又能顺利接收新系统?
•不满的员工:心怀不满的员工是严重的内部威胁
应对的措施:
•审查公司的信息安全政策和程序
•审查公司的数据资产。并确定任何透用的监管或合規要求 (倒如,PCl、HIPAA、 GDPR 等)
•审查组织的人员安全政策
•识别公司管理的任何专有或定制的应 用程序,并要求对其进行静态和动态应用程序安全测试,以证明其安全状况。
•零求提供最近的渗透测试 (pentest) 的结果,包括网络、操作系统、应用程序和数据库测试。
•审查组织对第三方和开放源码软件的使用,以确保软件的安全和透当的许可。
1.3.2.资产剥离
资产剥离是将业务的一部分分拆为一个独立的组织
可采取的行动:
•识别和分类所有涉及剥商的资产;这包括硬件、软件和信息资产。
•将受影响的系统与你的剩余基础设施脱钩。
•审查所有的访问权限。
•咨询你的法律和合规团队,以确保你遵循園绕数据保留、删除等的所有必要监管和合规要求。
1.3.3.组织角色和责任
1.3.3.1 首席信息安全官 (CISO)
首席信息安全官是一个组织内负责全面管理和监督信息安全计划的高级执行官。
首席信息安全官推动组织的安全战略和愿景,并最终对公司系统和信息的安全负责。
1.3.3.2 首席安全官 (CSO)
CSO是一个组织内的高级管理人员,通常负责所有的物理安全和人员安全事务。
许多组织已经将 CSO 的职责合并到 CISO的角色中
1.3.4. 安全控制框架
1.3.4.1 安全控制框架
是组织用于防止、检测、减小或对抗安全威胁的技术、操作或管理保护措施。
1.3.4.2 安全控制类型:
技术控制:基于系统的保护措施和对策,如防火墙、I1DS/PS 和数据丢失预防(DLP) •
操作控制:主要由人执行的保护措施和对策,如安全警卫。
管理控制:包括控制信息安全风险的政策、程序和其他对策。
1.3.4.3 常见的安全控制框架:
1.3.5. 道慎和尽责
1.3.5.1 谨慎原则(Due Care)
谨慎原则是指合理且谨慎地保护信息安全的行为,包括维护信息的保密性、完整性和可用性,适用于所有人员。这个原则适用于任何个人或组织,无论其在信息安全方面的专业水平如何。
1.3.5.2 尽职调查(Due Diligence
尽职调查是指在信息安全方面采取的一系列措施,以确保合理的安全措施已经得到实施和有效地工作。这些措施包括开发正式的安全框架、制定安全政策、标准、基线、指导方针和程序等等。在这方面,高级管理层有责任确保尽职调查的实施。
1.4 确定合规性和其他要求
1.4.1.合同、法律、工业标准和法规要求
cissp 将合规性定义为对任务的遵守,包括一个组织为了解和满足所有适用法律、监管要求、行业标准和合同协议而开展的一系列活动。安全专业人员应该了解适用于其业务的不同国家、地区和州的法律。
1.4.1.1《计算机安全法》
美国国会于 1987 年领布,已皮除,被《FISMA》取代。
1.4.1.2 《FISMA》
美国联邦信息安全管理法案,所有美国联邦政府机构和为这些机构提供信息服务的非政府组织都要进行基于风险的安全评估,以符合 NIST 风险管理框架 (RMF)
1.4.1.3 《SOX》
上市公司财务相关的法规
1.4.1.4 《PCI DSS》
支付卡行业的法规
1.4.1.5 《SOC》
代表系统和组织控制,是一个审计框架,有三种常用的SOC 审计和报告类型,怡当地命名 SOC1、SOC2 和SOC3
SOC1:财务报表相关的审计
SOC2:详细的审计和合规报告,一般不对外开放。
SOC3:SOC2 的简版,可对公众开放。
1.4.2. 隐私要求
隐私要求是指在信息处理中保护个人信息的安全和保密性,将对个人信息的访问限制在授权方的授权使用范国内。在本质上,隐私是指对个人身份信息进行保护,以保障个人的隐私权。
1.4.2.1PII
个人身份信息 (Personally ldentiiable Information, PII),任何可以识别个人的信息,比如:诸如你的姓名、地址、电话、银行卡号、驾照和社会安全号码(身份证)等
1.5. 从整体上理解与信息安全有关的法律和法规问题
1.5.1. 冈络犯罪和数据泄露
1.5.1.1 网络犯罪
网络犯罪是指直接涉及计算机或互联网的犯罪活动,主要包括:
1.针对人的犯罪,例如身份信息被窃取
2侵犯财产,例如破坏计算机、盗窃知识产权
3.针对政府的犯罪,例如窃取机密信息
1.5.1.2 数据泄露
数据泄露是未经授权的情况下,信息被网络犯罪分子访问或窃取的特殊网络犯罪。遣受数据泄露的组织可能面临声誉损害、身份盗窃事件、罚款或因盗窃而失去知识产权。加密是保护组织免受数据泄露的一个简单方法。
1.5.1.3 相关的美国法律:
《计算机欺诈和滥用法》 (CFAA):美国针对网络犯罪的第一部刑事法律,将许多类型的黑客活动视为联邦犯罪。CFAA 的修正案受到了抵制。
《电子通讯隐私法》(ECPA):限制美国政府截获通讯和存储信息,政府必须满足严格要求才能获得电 子通信的搜查令。
《身份盗窃和假设威慑法》:将窃取个人身价视为联邦犯罪。
1.5.2. 许可和知识产权(IP)要求
1.5.2.1 软件许可
软件是知识产权的一种重要形式。组织在开发软件方面投入了大量的财政和人力资源,然后通过许可协议来保护软件,许可协议有以下四种常见类型:
1合同许可:使用软件供应商和客户之间的书面合同概述各自的责任
2打开即生效 :当用户打破包装上的封条时,它们就会生效。
3.点击协议:客户在购买软件或注册服务时只需点击一个"我同意"按钮
4.云服务许可:上云的点击协议
1.5.2.2知识产权
信息安全专业人员的一个非常重要的责任是保护属于他们组织的知识产权,防止未经授权的使用或披露。
1.版权(Copyrights)
版权保护创意作品不被盗用。这些作品可能包括书籍、电影、歌曲、诗歌、艺术创作和计算机软件等类别。
版权保护是在创作时自动投予创作人的,但注意被雇佣时发生的创作归雇主所有。版权保护在作者死后持续 70年。版权 用这里显示的C圖符号表示。
2.商标 (Trademarks)
商标是用来保护你用来识别产品和服务的文宇和符号。受商标保护的信息包括品牌名称、标志和口号。商标可以无限期存在,但必须每10年更新一次注册。商标是用™M 符号表示的,一旦被政府授予注册资格,就可以用圆圈R符号来表示。
3.专利 (Patents)
专利权保护发明,为发明人提供在一段时间内对其发明的独家使用权。一旦被投予专利权,通常在申请日期后持续 20 年。为了获得专利,发明者必须证明他们的想法符合三个标准:
首先,它必须是新颖的;
其次,它必须是有用的;
最后,它必须是不是显而易见的;
4.商业秘密 (Trade Secrets)
有了商业秘密,所有者就不会把发明告诉任何人,并对细节保密。只要该组织能够保护这一秘密,它就享有对该发明的独家使用权。缺点是,如果其他人发现了该发明的工作原理,他们可以自由地使用它。通过保密协议(NDA)对组织内知晓商业秘密的人员知进行约束。
1.5.3. 进口和出口管制
许多国家对可能跨越国际边界的信息和货物类型有要求。信息安全专业人员必须了解适用手其行业的各种进口和出口管制,并确保其活动符合这些法规。
1.5.3.1 美国进口/出口控制
《国际武器贸易条例》 (TAR) 是国防物品相关的任何东西
《出口管理条例》(EAR) 涵盖了许多广泛的技术类别,包括敏感的电子和计算机、激光、导航、海洋技术,以及更多。
1.5.4. 跨境数据流
跨境数据流重点是国绕限制某些数据进出特定的地理位置或管辖区的要求。如:中国的《网络安全法》要求在中国境内收集的中国公民的数据必须保存在中国境内,未经中国政府许可不得转移到国外。
1.5.5.隐私
私人信息的两个最常见的元素是个人身份信息,或称Pll,以及受保护的健康信息,或称 PHl
1.5.5.1 美国相关隐私法律
1.《隐私法 (Privacy Act) 》
主要是规定并管理美国政府机构在收集、维护、使用和传播 PII 有关的做法
2.《健康保险可携性和责任法案 (HIPAA)》
要求医院、医生、保险公司和其他处理或储存 PHI 信息的组织采取严格的安全措施。
3.《儿童在线隐私保护法 (COPPA) 》
为在线业务制定了严格 的准则,以保护 13 岁以下儿童的隐私。
4. 《金融服务现代化法案 (GLBA) 》
针对金融机构交换客户信息提出监管要求。要求各机构实施适当的安全控制,以保护其客户的个人数据。
5.《健康信息技术促进经济和临床健康法案(HITECH)》
该法案扩大了 HIPAA 的隐私保护,进行更严厉的处罚。还引入了 违规通知规则,当发生泄漏后 60 天内向受影响的各方披露。
1.5.5.2 欧盟相关隐私法律
1.《数据保护指令 (DPD)>
规范了对欧洲公民的个人数据的处理,是欧盟第一部重要的隱私法,被认为是整个欧洲的基础性隐私法规。已被后续的 (GDPR》取代。
2.《通用数据保护条例 (GDPR)》
规定了处理个人数据的七项原则:
1)合法性、公平性和透明度:根据适用的法律获取和处理个人数据,并充分告知用户,他们的数据将如何被使用。
2)目的限制:确定收集数据的"具体、明确和合法"的目的,并告知他们这种目
3)数据最小化:收集和处理提供商定的服务所需的最低数量的数据。
4)准确性:确保个人数据保持"准确并在必要时保持更新”。
5)存储限制:个人数据仅在提供约定的服务所需的时间内被储存。遵守“被遗忘权"
6) 完整性和保密性
7)责任性 :数据控制者(data controllers 即:存储和处理个人数据的一方)必须能够证明符合所有要求。
注意:如果组织存储或处理欧盟公民或居民的个人数据,那么GDPR 适用于你,无论你的公司是否位于欧盟。并要求数据控制者在意识到个人数据泄露后 72小时内通知相关方。对跨境信息共享,必领使用标准的合同条款或者具有约束力的公司规则。
3. 《安全港》和《隐私盾》是美国与欧盟之问的隐私保护协议,都已失效。
1.6.了解调查类型的要求
1.6.1. 调杳类型
1.6.1.1 行政调查 (Administrative)
组织内部调查,旨在找到问题的根本原因并解決,使业务恢复正常运作。
1.6.1.2刑事调查 (Criminal)
由政府机构进行的调查,调查违反刑事法律的行为。
最高的证据标准 :排除合理怀疑的标准。
1.6.1.3 民事调查 (Civil)
由政府机构进行的调查,调查违反刑事法律的行为。
最高的证据标准:排除合理怀疑的标准。
1.6.1.4 监管 (Regulatory)
政府机构对潜在违反行政法的行为进行调查,或独立监管机构对违反行业标准的行为进行调查。
监管调查可能是民事或刑事性质的。
1.7. 制定、记录和实施安全政策、标准、程序和准则
1.7.1. 安全政策框架
17.1.1 安全政策 (Policies)
安全政策是一组声明,非常仔细地描述一个组织长期的安全期望,确定了管理组织里信息系统和数据保护的原则和规则。
•对政策的遵守是强制性的,而政策通常是由组织的最高层批准的。
一些常见的安全政策:可接受的使用政策、访问控制政策、变更管理政策、远程访问政策、灾难恢复政策
1.7.1.2安全标准 (Standards)
安全标准规定了组织必须遵循的安全控制的具体细节,如:组织批准的加密协议、数据存储的位置、配置参数以及其他技术和操作细节。当涉及到复杂的配置标准时,往往借鉴行业标准,如互联网安全中心提供的安全配置指南。
对安全标淮的遵守是强制性的。安全基线与标准有关,它为系统、网络或设备建立了一个最低的安全水平,如果达不到基线要求则不能上线。
1.7.1.3 安全程序 (Procedures)
安全程序是员工在执行特定安全任务时可以遵循的一步一步的指示。
1.7.1.4安全指南 (Guidelines)
指南是安全专业人员向组织的其他成员提供建议的地方,包括信息安全的最佳实践。对安全指南的遵守是非强制性的。
1.8 识别 分析和优先考虑业务连续性 (BC) 要求
1.8.1. 业务影响分析 (BIA)
业务影响分析帮助一个组织确定其基本的业务功能,使用定量或定性的风险评估,并了解灾难对每项功能的影响;业务影响分析为业务连续性计划(BCP)及其要求提供主要依据。
BlA 帮助一个组织确定其哪些业务功能更有弹性,哪些更脆弱。
1.8.1.1 流程:
1.首先建立你的 BC 项目团队、范围和预算
2.识别关键业务(CBF) 和其他基本业务要素,包括
人员
业务流程
信息系统和应用
其他资产
3.对关键业务进行风险分析:
确定存在的任何脆弱性
•不利事件的可能性
影响程度
1.8.1.2 确定影响程度的方法
1.最大可容忍停机时间 (MTD)或最大可接受停机时间 (MAO)表示关键业务功能不可用的总时间长度。MTD 必须由系统所有者决定,他对组织的 CBF 的正常运行负有最终责任。
2.恢复时间目标 (RTO)是关键业务在中断后必须恢复的最大时间段,以避免不可接受的业务后果。RTO 必须小于或等于 MTD。
3 . 恢复点目标(RPO)是对可容忍的数据损失的测量,以时间段来表示。
1.8.2. 制定并记录范围和计划
1.8.2.1 业务连续性计划 (BCP)
业务连续性计划旨在保护组织的关键业务功能和客户,确保组织能在特定的服务水平和时间段内继续有效运营,以满足法律和监管要求,以及组织设定的 MTD、RTO 和RPO。
业务连续性计划BCP阶段
项目范围和计划
组织分析
识别与BCP流程具有利害关系的部门和人
负责向客户提供核心业务的运营部门
关键支持服务部门,如IT部门、设施和维护人员、其它团队
负责物理安全的公司安全团队
高级管理人员和对组织持续运营重要的人员
该分析是选择 BCP 团队的基础,经BCP 团队确认后,用于指导 BCP 开发的后续阶段。
选择BCP团队
部门的技术专家,具备 BCP 技能的物理和 IT 安全人员,熟悉公司法律、监管和合同责任的法律代表,以及高级管理层的代表。其他团队成员取决于组织的结构和性质。
资源需求
法律和法规要求
业务影响分析
BIA,是BCP的核心部分,分为5个步骤
确定优先级
业务功能优先级列表
确定MTD,最大允许中断时间
确定RTO,RTO<MTD
恢复点目标,RPO
风险识别
可能性评估
为每种风险确定ARO
影响分析
资源优先级排序
连续性计划
策略开发
预备和处理
人员
建筑物/设施
基础设施
计划批准和实施
计划批准
计划实施
培训和教育
BCP文档化
1.8.2.2 BCP 的通用范围
尽管没有统一的BCP 标准,但大多数计划通常包括以下方面:
关键业务功能
威胁、脆弱性和风险
数据备份和恢复计划
FBCP 相关人员
通信计划
BCP 测试要求
1.8.2.3 保护人员、流程和技术这三类资产的要求和技术
1 .人员:
确保紧急情况下组织内外人员的安全是 BCP的首要目标。提供适当的培训和教育,以便员工了解如何在紧急情况下行动。
2 •流程:
评估关键业务功能,确定灾难发生时所需资源。为关键数据处理设施和能力制定备用站点计划,确保持续运行。
3. 技术:
预测软硬件故障,制定控制措施以降低风险。实施数据备份和冗余系统,包括电力、水、通信和网络连接等基础设施。
1.9促进并执行人员安全政策和程序
1.9.1候选人的筛选和录用
员工可能是安全链中最脆弱的环节。需要注意,并非所有员工都会将组织的最佳利益放在首位。内部攻击往往导致极具破坏性的安全漏洞。因此,人员安全应作为网络安全计划的一个重要基础:
•招聘经理应与人力资源部门协作,明确并准确地记录工作职责和描述。
•确定角色的敏感性或分类,以分配合适的权限。
1.9.1.1 背景调查
教育背景
工作经验
-公民身份
-犯罪记录
药物检测
绩效评估
信用和财务历史
社交媒体活动
注意:国外公司一般不关注体检(普通的身体健康检查)
1.9.2. 就业协议和政策
1.9.2.1 保密协议和竞业协议
最常见的员工协议是保密协议 (NDA) 和竞业协议 (NCA)
1• 保密协设 (NDA)
是一种限制员工或承包商(或其他可能接触敏感信息的人员)在受雇期间或与組织关系中获取的敏感信息的披露的协议。保密协议旨在维护组织数据(如商业机密或客户信息)的机密性,通常是一个终身协议(即使在员工离职后)。
2 • 竞业协设 (NCA)
是一种限制员工在职期间以及在多数情况下在离职后一定时间内与组织直接的不公平竞争。竞争的协议。竞业限制是一种单向协议,旨在保护组织免受前员工或承包商
1.9.2.2 组织要求
除了 NDA 和 NCA,员工可能需要签署组织的其他要求,如可接受使用政策(AUP)、行为准则或利益冲突政策。
1.9.2.3入职:雇佣协议和策略
入职后,首先签署雇佛协议,根据职位可能需要签署保密协议 (NDA) 和竞业协议(NCA)等;根据员工职位分配系统访问权限。然后,为员工提供培训,包括组织文化、策略、流程、技能等
1.9.2.4 员工监督
在员工的整个职位期间,经理应定期审查或评估每位员工的工作描述、任务、权限和责任,以确保他们仍能满足职位要求。
•特权蠕变 (privilege creep)(特权漂移):随着员工工作内容的增加,可能获得超出职位要求的权限。
•强制休假 (mandatory vacations):要求员工离开岗位 1-2周,由其他员工顶替,以发现滥用、欺诈或疏忽。
•合谋(collusion):通过职责分离、强制休假、工作轮换和交叉培训等措施降低员工意愿合作实施非法或滥用计划的可能性,因被发现的风险较高。
•用户和实体行为分析 (UEBA):对用户和实体进行分析,有助于优化人员管理计划。
1.9.2.5离职、转岗、终止过程
员工离职时,需注意以下几点:
•在员工收到终止通知的同时或之前禁用员工的用户账户,但不直接删除,以备审计之用。
•离职面谈时强调 NDA 和 NCA 的责任。
。确保员工归还公司资产,包括但不限于钥匙、门禁卡、手机、电脑等。
•安排安保人员陪同员工在工作区回收个人物品。
•通知所有相关人员该员工已离职。
1.9.2.6 供应商、顾问和承包商协议和控制
供应商、顾问和承包商协议和控制 当多个实体或组织参与一个项目时,存在多方风险 (multiparty risk)。通过服务水平协议(SLA)确保供应商的产品或服务水平达到预期,如果达不到,将涉及赔偿,从而确保服务质量。供应商、顾问和承包商有时被称为外包(outsourcing)。组织还可以通过供应商管理系统(VMS)提高外包管理的效率。
1.9.2.7 合规策略要求
人员安全管理需满足法律法规的要求,如 PCI DSS。
1.9.2.8 隐私策略要求
人员安全管理也需满足隐私策略的要求,如 GDPR。
1.9.3. 人职、岗位调动和离职程序
人职、调职和离职是就业的三个阶段,每个阶段都有自己的安全考虑。
1.9.3.1 入职培训
提醒员工有义务保护信息和防范威胁,同时应该知道他们的行为可能会被审查。
1.9.3.2岗位调动
调岗时移除不再需要的访问权限,遵循最小特权原则。
1.9.3.3 离职
离职分自愿和非自愿的。当员工以良好的状态离职时,通过组织的离职程序即可。
如果是非自愿离职,则应采取适当的行动来保护组织的资产
•离职面谈,提醒签署的 NDA 等相关协议
•在通知员工解雇的同时切断系统访问权限,进行离职清单检查
•通知其余员工不再允许被解雇的员工进入组织
离职清单包括:撤销访问权限、收回钥匙、徵章、设备和文件。
1.9.4. 供应商、顾问和承包商协议和控制
组织通常会将诸如数据中心托管、应用开发等 「功能外包。与这些外包或合作组织签订 NDA 和其他协议,可以增加它们的合规负担,尽量避免第三方导致敏感信息泄露。以下是一些建议的安全措施:
-实施访问控制
口对文件交换进行审查
管理和监控维护钩子(后门)
进行现场评估
审查流程和政策
制定服务水平协议
19.5.2政策的培训及惩罚
•员工培训:为员工和其他相关人 员提供初始和周期性培训,确保政策遵守。
•安全意识:提高对信息安全的关注和理解。
•职位相关培训:根据员工的岗位需求提供特定培训。
•吸策后果明确:在政策中闸述不遵守的潜在后果,如纪律措施、 停职或解雇。
1.9.5. 遵守政策要求
1.9.5.1 组织政策要求
•遵从法律法规:确保组织政策符合适用的法律、法规和其他法律义务。
•吸策一致性:组织的要求、控制和程序必须与政策保持一致。
1.9.6.隱私政策要求
组织在处理员工敏感信息时,需要遵循法律和道德责任以保护其隐私。这些信息可能包括背景调查、社会安全号码(身份证号)、工资信息和健康信息等。为确保信息
安全,组织应在隐私政策中酒盖以下原则:
•最小化原則:仅收集完成合法就业过程所需的信息。
•限制访问:仅向需要了解此类信息的人员提供访问权限。
•使用加密 :尽可能采用加密技术,防止信息在非正常渠道被读取。
1.10 理解并应用风险管理概念
1. 10.1识别威胁和弱点
风险是指潜在威胁利用脆弱性对组织、目标或资产(包括人员、系统和数据)产生负面影响的可能性。
1.10.1.1 风险分类
•固有风险是指在实施任何控制措施之前存在的风险
•剩余风险是指在控制措施到位后仍存在的风险水平
1.10.1.2 威胁(Threat):
可可能有意或无意地破坏资产安全的个人或实体,例如黑客、不满员工或自然灾害等。
1.10.1.3 脆弱性 (Vulnerabilities)
系统中存在的弱点或漏洞,如果被威胁者利用,可能产生风险。
1.10.1.4 资产 (Assets)
资产是任何有价值的东西,其中可能包括人、财产和信息。
1.10.2.风险评估和分析
1.10.2.1 风险评估的定义
风险是威胁、 脆弱性和资产之间的交叉点。风险评估是一系列的活动,包括识别潜在的威胁和脆弱性,确定这些威胁利用已识别的漏洞的影响和可能性。
1.10.2.2 评估风险的步骤:
1.风险识别:识别资产和它们对组织的价值
2.风险分析:确定一个威胁利用一个漏洞的可能性
3.风险评估:确定这些潜在威胁的业务影响
4.风险处理:在威胁的影响和反措施的成本之间提供一个经济平衡
1.10.2.3 风险识别
首先识别组织的资产并确定这些资产的价值,然后识别和描述对资产构成风险的脆弱性和威胁。
1.10.2.4 风险分析
风险分析是从脆弱性评估和威胁分析开始,计算发生风险的可能性并根据影响程度进行排序。
1.10.2.4.1 定性风险分析
很多情况下价值无法被量化,如组织的声誉、数据的价值,所以只能拍脑我决定,资产价值、风险级别等内容使用级别来标识,如高中低、0-10、百分制等。
定性风险分析的技术有:头脑风暴、故事板、焦点小组、调查、问卷调查、面谈、场景化、Delphi 技术
1.10.2.4.2 定量风险分析
定量风险分析的主要过程:
•盘点资产、分配价值 (AV)
•将资产与威胁进行配对
•计算每个资产威胁配对的暴露因子 (EF),即特定威胁一次破坏资产遭受损失的百分比
•计算每个资产威肋配对的单一损失期望 (SLE),即特定威肋一次破坏资产损失的钱 (SLE=AV*EF)
•计算每个威胁的年化发生率 (ARO)。即资产一年内面临的特定威胁发生的概率
•计算每个资产威胁配对的年化损失期望 (ALE),即特定威胁一年内破坏资产
损失的钱 (ALE=SLE*ARO)
•为每个资产威胁配对制定可能的对策,并计算年化防护成本 (ACS)、ARO、EF 和 ALE 的变化
•对每种对策进行成本效益评估 (cost/beneit evaluation)。选择对每种威胁最合适的响应措施,即 ALE_per-ALE_post-ACS,结果为正则防护措施有价值,结果为负责防护措施无价值。
1.10.3. 风險响应
风险处理有四个主要类别:
1.10.3.1 风险规避 (Avoid)
通过停止或移除导致风险的活动或技术来消除已确定的风险。
1.10.3.2 风险缓解 (Mitigate)
通过实施政策和技术措施,减少风险可能造成的伤害。
1.10.3.3 风险转移 (Transfer)
也叫风险分配(Risk Assignmen0),将与风险相关的责任和潜在损失转移到第三方。
常见的方式:购买保险。
1.10.3.4 风险接受 (Accept)
当避免、减轻或转移风险的成本超过已实现威胁的预期损失时,接受风险成为一种选择。
1.10.4. 对策的选择和实施
1.10.4.1 对策的考虑点:
•人员相关:
聘用(或解雇)、组织结构调整和意识培训是一些常见的与人员有关的对策。背景调查、雇佣实战、安全意识和培训工作等。
•管理有关
政策、程序和其他 “基于工作流程"的緩解措施通籍展于这一类别。洲量、程序、数据分类和标签、报告和审查、工作监督。
•技术有关:
加密、配置交更和其他硬件或软件的改变等。身份验证方法、加密、受限接口、访问控制列表、协议、防火墙、路由器、入侵检测系统和剪栽级别。
•物理相关:
警卫、国栏、运动探测器、带锁的门、密封的窗户、照明、电缆保护、笔记本电脑锁、徽章、刷卡、警犬、摄像机、门禁前厅和报警器。
1.10.42对策的有效性
从预防、检测、纠正的角度考感,确保风险对策的有效性。如:加密不能解决某个特定风险,就换一种方式,比如:考虑备份。
1.10.4.3对策的成本效益
确保安全措施的成本与被保护资产的价值相符。
1.10.4.4 业务影响
考虑对策的实施和使用是否过于困难,避免因为错误使用而增加风险。
1.10.5. 适用的控制类型
1.10.5.1 控制类型
•预防:防止事件发生,例如防火墙、系统备份、IPS。
•检测:识别事件活动和潜在入侵者,例如 1DS。
•纠正:事故发生后修复组件或系统,例如补丁升级。
•威惙:劝阻潜在攻击者,例如围栏、警犬。
•恢复:使环境恢复正常运行状态,例如系统和数据备份、灾难恢复站点。
•补偿:提供替代控制措施。
1.10.6. 控制评估(安全和隐私)
细织应定期进行安全控制评估(SCA),以确保安全和隐私控制保持有效。
SCA 可以采用自我评估或第三方的外部评估。
1.10.6.1 SCA 评估方法
•检验:评估员通第要求组织提供安全策略、配置文件等清单,以便进行查阅、复核、观家、研究或分析,并形成初步观点。
•访谈:评估员与关键利益相关 者会面,进一步了解已实施的安全控制措施及其运作方式。
。测试:通过测试确认安全控制措施按照文件规定实施、 有效并按预期运行。
1.10.7.监测和测量
•安全控制应持续监控和量化,以街量其效益并提供改进建议。
-应制定一套关键绩效指标(KPI),以便量化和街量控制的长期绩效。
1.10.8. 报告
创建正式报告,向高管、监管机构和其他利益相关者报告关键发现或指标,详细说明对每个被评估控制的结果。报告可能包括以下内容:
内部审计(如自我评估)
•外部审计(如监管机构或其他第三方审计)
•组织风险状况的重大变化
•安全或隐私控制的重大变化
•凝似或确认的安全漏洞(或其他事件)
1.10.9. 持续改进
随着威胁和脆弱性的变化,安全计划应保持持续改进,加强控制并改善组织的整体信息安全状况。企业风险管理(ERM)可以采用风险成熱度模型 (RMM) 进行评估,评估成熟、可持续和可重复的风险管理过程。
1.10.9.1 风險成熟度模型(RMM)
通常包含五个级别:
。临时 (Ad hoc):使用临时性做法,控制不佳。
•起步 (Preliminary):尝试遵循风险管理流程,但各部门可能独立进行风险评估。
•定义 (Defined):在整个组织范團内采用通用或标准化的风险框架。
•集成 (Integrated):风险管理操作集成到业务流程中,使用指标收集有效性数据,并将风险视为业务战略决策的要素。
•优化 (Optimized):关注实现目标的风险管理,而不仅仅是应对外部威胁;增加战略规划以实現业务成功,而非仅避免事故:将吸取的经验教训重新纳入风险管理过程。
1.10.10.风险框架
1.10.10.1NIST 风险管理框架
NIST800-37Rev.2 中风险管理框架(RMF)的6个阶段:
•分类 (Categorize):
对所有信息系统进行分类,基于保密性、完整性和可用性对组织的潜在影响。
选择(Select):
根据分类和影响选择一套基准控制。
•实施 (Implement)
实施所选的控制。
•评估 (Assess):
评估控制措施是否正确实施、按计划运行,并产生预期的安全要求结果。
•授权 (Authorize):
评估后,组织领导层决定是否授权使用该系统,基于控制措施在风险容忍度内操作系统的能力,并接受剩余风险。
•监控 (Monitor):
持续监测控制有效性,确保系统运行在组织的风险承受范田内。如发现重大问题,循环可能从第一步重新开始。
1.11. 理解并应用威胁建模的概念和方法学
1.11.1. 威胁建模
1.11.1.1 威胁建模方法
越早执行威胁建模,成本效益越高。一般从以下三个方面
•以攻击者为中心
确定潜在攻击者特征、技能组合和动机,识别可能实施特定攻击的攻击者.制定防御策略。
•以资产为中心:
确定对组织和潜在攻击者有价值的资产,评估攻击者如何可能损害资产。
•以软件为中心:
使用架构图(如数据流图或组合图) 表示系统,评估针对每个组件的潜在攻击,确定安全控制的必要性、 存在性和效果。
1.11.1.2 威胁建模框架
1.
STRIDE (微软)
2.
PASTA(攻击模拟和威胁分析流程)
3.
NIST 800-154 (数据为中心的系统威胁建模指南)
4. DREAD(已废弃,从损害、可复制性、可利用性、受影响的用户、可发现性对漏洞进行定量风险排序)
5. 其他威胁建模方法
•OCTAVE:重点关注组织中的运营风险、安全控制和安全技术。
•Trike:是一个开源的威胁建模方法和工具,专注于使用威胁模型作为风险管理工具。
•CORAS: 也是开源的,主要依靠统一建模语言 (UML)将威胁在前端可视化
•VAST :可视化、敏捷和简单的威胁建模,是一种利用敏捷概念的方法
1.11.1.3 STRIDE 详解
•Spoofing identity(欺骗身份)
攻击者伪造他人的身份,访问应用程序或系统,从而获得未授权的访问权限
•Tampering with data(篡改数据)
攻击者试图更改或破坏应用程序或系统中的数据,以导致意外或恶意的结果
•Repudiation(否认)
攻击者否认在系统中进行的菜些操作或交易,这样就可以逃避贵任或产生纠纷
•Information disclosure(信息泄露)
攻击者可以从系统中窃取或访问机密信息,包括用户密码、信用卡信息、公司机密等。
•Denial of service (拒绝服务)
攻击者试图阻止或减缓正常用户访问系统,通过使系统不可用或崩溃。
•Elevation of privilege(提权)
攻击者通过利用应用程序或系统的漏洞,从普通用户提升到管理员或其他特权用户。
1.11.1.4 PASTA 详解
PASTA 是一种基于风险的威胁建模方法,它将商业目标与技术需求相结合,使输出结果更容易被高层管理部门理解。与STRIDE 不同,PASTA 方法是一个严格意义上的威胁识别框架,它为识别和减轻威胁提供了一个强大的过程。
PASTA 的过程包括以下七个阶段:
1. 确定目标
业务目标和需求被确定,以便更好地理解组织的整体风险承受能力以及可能受到威胁的关键业务流程和资产。
2.确定技术范围
技术范围和应用程序的架构被定义,以便了解可能受到攻击的系统和组件
3. 应用分解
应用程序被分解成更小的组件,以便更好地理解每个组件的功能、数据流以
4. 威胁分析
及与其他组件之间的关系。这有助于识别可能的攻击路径和潜在威胁。格分析可能影响组织的威胁,包括内部和外部威胁。这可以包括识别潜在的攻击者、他们的动机和能力,以及可能的攻击手段。
5. 脆弱性分析
对系统的脆弱性进行分析,以确定潜在的弱点和安全漏洞。这可以包括代码审查、渗透测试和其他安全评估方法,以便发现和修复安全问题。
6. 攻击列举
根据前面的分析,列羊可能针对系统的攻击。这有助于更好地了解攻击者可能利用的攻击手段和路径。
7. 风险和影响分析
评估每个潜在威胁的风险和影响,以确定优先级,并制定相应的缓解措施和安全策略。这可以帮助组织在降低风险的同时,有效地分配资源和关注重点领域
1.12 成用供应链风险管理 (SCRM) 概念
1.12.1. 与硬件、软件和服务有关的风险
供应商在组织的信息技术运作中扮演关键角色。他们在提供硬件、软件或云计算服务方面对客户的厂 服务不可或缺。安全专业人员需密切关注与供应商的业务伙伴关系,以保护组织的信息和「 系统的保密性、完整性和可用性。这个过程被称为供应商尽职调查,旨在规避与采购硬件、软件和服务相关的风险。
1.12.1.1 硬件可能的风险:
圖有问题的部件或不符合标准的部件
假冒或伪造的零件
圖装有固件级恶意软件的电子元件
1.12.1.2 软件可能的风险:
被植入了木马
使用的组件库存在漏洞
1.12.1.3服务可能的风险:
数据泄漏
1.12.2. 第三方评估和监测
治理和监督活动应洒盖现场安全调查、对第三方系统进行正式的安全审计以及在可行情况下进行渗透测试。对于新的第三方合作伙伴,根据组织的安全要求进行评估至关重要,应记录存在的差距并予以密切监控。
1.12.3. 最低安全要求
与基线类似,组织应建立最低安全要求(MSRS),以确定供应商和供应链中其他参与方必须满足的最低可接受的安全标准。
MSRS 应酒盖所有适用的法律、合同或监管要求。同时,对第三方在遵守已建立并传达的 MSRS 方面的执行情况进行审计和评估至关重要。
1.12.4. 服务水平要求
服务水平协议(SLA)是一种合同协议,规定服务提供者保证一定的服务水平,如:
性能指标、服务可用性、响应时间和其他相关质量标准。如果服务没有按照约定的水平交付,那么就会对服务提供商产生后果(通常是财务上的)
1.12.5. 框架
1.12.5.1 处理供应链风险的框架:
1.NIST IR 7622
这份文件概述了 在处理供应链风险时应考虑的 10个关键实践。
2.ISO 28000
15028000.2007 在很大程度上基于计划-执行-检查-行动 (PDCA)的特续过程改进模型,以优化安全管理系统并确保组织对安全实践的遵守。
3.英国国家网络安全中心 (NCSC) 指导意见
分为4个阶段(包含 12 项原则)
•评估风险
•建立控制措施
•检查现有安排
•持续改进
1.13. 建立并维持一个安全意识、教育和培训汁划
1.13.1. 提出认意识和培训的方法和技术
安全意识计划是一项旨在教育用户识别和应对组织信息和系统潜在威胁的正式计划,通常包括新员工培训、讲座、计算机辅助培训和印刷材料,并通过社会工程模拟、安全倡导者和游戏化来提高对关键安全议题的关注度。
1.13.1.1 社会工程
社会工程是一种操纵人心的策路,其中攻击者通过伪装成他人,企图获取敏感信息。
网络钓鱼是最常见的社会工程形式,也是主要的安全隐患来源。
1.13.1.2 安全卫士
安全卫士是安全最佳实践的倡导者,而这些员工并不把安全作为他们的主要工作。
1.13.1.3 游戏化
游戏化是将游戏元素应用于非游戏场景,以吸引1和教育目标受众。
1.13.2. 定期的内容审查
信息安全是一个持续发展的领域,威胁和漏洞不断变化。因此,为确保内容的相关性,您需要定期审查井更新安全底识、教育和培训计划的内容。建议至少每年进行申查和更新,以避免出现过时或不相关的技术和术语。
1.13.3. 方案有效性评估
1.13.3.1培训指标
如培训完成率、参与人数等简要指标。
1.13.3.2测验
测验是评估培训有效性的一种有效方法。
1.13.3.3 安全意识日
安全意识日旨在提高安全宣传,同时可以通过匿 名调查问卷收集员工对安全计划的看法和建议。
1.13.3.4 内部评估
评估方法包括在培训结束后收集关于安全事件数量或报告的疑似网络钓鱼事件数量的增减数
重点习题
你负责组织的安全意识计划,由于担心技术变化可能使内容过时,可以采取什么控制措施防止这种风险: A 游戏化 B 基于计算机的培训 C 内容审查 D 实施培训
正确答案:C 教材上册 P76 有效性评估
Froneme- 是美国一家在线服务提供商的安全专家。她最近收到版权精有人的申诉,用户在她的服务上存储了侵犯第三方版权的信息。哪项法律规定了Francine 必须采取的行动? A. 版权法 B. 兰姆法 C.数宇千禧年版权法 D.格拉姆-利奇-布菜利法案
正确答案:C P115 版权和数字千年版权法,需要把每个法律的详细名称记住
目前就一道题
FyAway Travel 在欧洲联盟(EU)和美国都设有办事处,并经常在这些办事处之间传输个人信息。他们最近收到一位欧盟客户的请求,要求终止其账户。 根据 《通用数据保护条例》 (GDPR),处理个人信息的哪个要求规定个人可要求其数据不再传播或处理? A. 访问权 B.隐私设计 C.被遗忘权 D.数据可携权
正确答案:C 没找到
Remee 正在董事会:讲解他们对审查网络安全控制的责任,哪个规则要求高级执行人员对信息安全事务负个人责任 A. 尽职调查规则 B.个人责任规则 C.谨慎人规則 D.正当程序规则
正确答案:C 没找到 审慎者规则要求高级管理人员负责确保日常工作中保持适度关注。
张三最近协助一位同事准备CISSP考试,在此过程中,张三泄露了关于考试的机密信息,违反了道德标准的第四条:推进和保护职业,谁可以对张三 提出道德指控? A 任何人都可以提出指控。 B 任何持有认证或许可证的专业人士都可以提出指控。 C 只有张三的雇主可以提出指控。 D 只有受影响的雇员可以提出推控。
正确答案:B 没找到
Yolanda 是一家金融机构的首 席隐私官,正在研究与客户支票账户相关的德私要求。以下哪项法律最有可能适用于这种情况? AGLBA 法 B. SOX 法 C.HIPAA 法 D.FERPA 法
正确答案:A 没找到 审慎者规则要求高级管理人员负责确保日常工作中保持适度关注。
出口哪些技术最有可能触发出口控制法律法规? A. 存储芯片 B. 办公生产应用程序 C 硬盘驱动器 D 加密软件
正确答案:D P119
在完成业务连续性规划工作并决定接受其中一项风险后,你应该接下来告 什么? A 实施新的安全控制以降低风险水平。 B 设计灾难恢复计划。 C.重新进行业务影响评估。 D 记录你的决策过程。
正确答案:D
在对组织的媒体存储设施使用的控制措施进行审查时,你想正确分类每个当前已经采取的控制措施。以下哪个控制类别准确描述了设施周围的围栏? (选择所有适用项。) A. 物理控制 B.检测控制 C.威慑控制 D.顸防控制
正确答案:ACD
以下原则中环个对个人施加了一种与在特定情况下合理人所期望的标准相当的关怀标准? A. 尽职调查(Due diligence) B. 职责分离 C. 谨慎原则(Due care) D.最小特权
正确答案:C
kelly 相信一位员工在未经授权的情况下将计算资源用于副业。在与管理层 什么?磋商后,她决定发起一项行政调查。在这次调查中,她必须满足的举证责任是 A. 证据的优势 B.超越合理怀疑 C.毋庸置疑 D.没有标准
正确答案:D 行政调查,不是民事、刑事的,也不是行政法的,所以是没有标准
Keenan Systems 最近开发了一种新的微处理器制造工艺。该公司希望格这友技术授权给其他公司使用,但希望防止未经授权使用该技木。对于这稅情况,哪种类型的知识产权保护最适合? A. 专利 B. 商业秘密 C.版权 D.商标
正确答案:A
Wike最近安施了一个入侵防止系统与在阻止常见的网络攻击对他的组织产生影响。Mike 正在追求哪种类型的风险管理策略? A. 风险接受 B.风险回避 C.风险缓解 D. 风险转移
C
Carl 是一名联邦特工,正在调查一起计算机犯罪案件。他确定了一名从事非法行为的攻击者,并希望对该个人提起案件以导致监禁。Carl必须满足哪种证明标淮? A. 毋庸置疑 B. 证据的优势 C.超越合理怀疑 D.多数证据
C
一下哪个组织从事电子交易,不会自动受到HIPAA的隐私和安全要求的约束: A 医疗保健提供者 B 健康和健身应用程序开发者 C 健康信息清算中心 D 健康保险计划
B 要求医院、医生、保险公司和其他处理或存储私人医疗信息的组织 没有程序开发者
Acme wridges 公司正在为其会计部门制定新的控制指施。管理层担心一个不法会计师司能能够创建一个虚假供应商,并向该供应商开具支票作为未提供服务的付款。哪个安全控制措施最能帮助防止这种情况发生? A. 强制休假 B. 职责分离 C.深度防御 D. 工作轮换
A P35
以下哪种个人通常负责履行高级管理委派的操作数据保护责任,例如验证数据完整性、测试备价和管理安全策略? A. 数据保管员 B. 数据所有者 C.用户 D. 审计员
A P157
Alan 在一家电子商务公司王作般近有一些内容设另一个网站盗用井来经许可重新发布。聚种类型的知识产权保护最能保护 Alen公司的收金了 A.商业秘密 B. 版权 C.商标 D.专利
B
Tom 启用了他的云基础设施服务提供商提供的一个应用防火境,旨在阳止许多类型的应用攻击。从风险管理的角度来看,Tom 试图通过实苑这种对策降低哪个指标? A.影响 B. RPO C. MTO D.可能性
D
Beth是一名人力资源专员,准备协助解雇一名员工,一下哪项通常不是解雇流程的一部分: A 离职面谈 B 财产回收 C 账户终止 D 签署NCA(非竞争协议)
D
Doolittle Industries 的一名会计职员最近因参与挪用方案而被遠捕。该员工战款转入个人账户,然后每天在其他账户之间转移资金,以掩盖数月的數诈行为。以下哪种控制措施可能最好地提前检测到这种欺诈? A 职责分离 B.最小特权 C 防御性深度 D 强制休假
D
在组织中,谁应该接受初步的业务连续性计划培训? A. 高级执行人员 B. 担任特定业务连续性角色的人员 C. 组织中的每个人 D. 急救人员
C
詹姆斯正在为他的组织进行风险评估,并试图为数据中心中的服务器分配一个资产价值。组织的主要关注是确保在数据中心受损或被摧毀的情况下有足够的资金可用于重建。在这种情况下,下列哪种资产估值方法最合适? A. 购买成本 B.折1旧成本 C.替换成本 D.机会成本
C
罗杰的组织遭受了客户信用卡记录的泄露。根据 PCIDSS 的条款,下列哪个组织可能选择对此事进行调查? A. 联邦调查局 (FBI) B. 当地执法机构 C 银行 D PCI SSC
C
张三邀请了每个业务单位中的关键员工,请他们协助他的安全意识计划。她们讲负责向同行分享安全信息并回答与网络安全相关的问题,哪个术语最能描述这种关系? A 安全冠军 B 安全专家 C. 游残化 D. 同行评审
A
势兰克发現公司首席执行官的笔记本电脑上隐藏者一个键盘记录器。健盘记录器最有可能旨在破坏哪个信息安全原則? A 机密性 B. 完整性 C. 可用性 D.否认
A
爱丽丝正在帮助她的组织准备评估和采用一个新的基于云的人力资源管理 (HRM)) 系统供应商。对于可能的供应商,最适合要求的最低安全标准是什么? A 符合所有法律法規 B.以与组织相同的方式处理信息 C.消除所有已确定的安全风险 D. 符合供座商自己的政策
B
.HAL Systems 最近决定停止提供公共 NTP服务,因为担心其 NTP 服务器会被用于放大型 DD0S 攻击。HAL在其 NTP 服务方面采取了哪种类型的风险管理策路? A.风险缓解 B. 风险接受 C.风险转移 D.风险回避
D 风险规避,风险应对的一种方法,是指通过计划的变更来消除风险或风险发生的条件,保护目标免受风险的影响。风险规避并不意味着完全消除风险,我们所要规避的是风险可能给我们造成的损失。 风险减轻,风险损失的控制,即通过降低损失发生的概率来降低损失发生的程度。采用措施降低风险发生的概率,减轻风险发生的后果,把风险的严重性降低到可接受的水平
以下哪个组成部分应包含在组织的应急响应指南中? A. 应通知的紧急事件相关人员名单 B.长期的业务连续性协议 C 启动组织冷备站点的程序 D 订购设备的联系信息
A 应急响应指南: 1. 相应程序 2. 事故通知人员名单(高管 BCP成员) 3. 第一响应人员在等待BCP团队集结时应采取的二级响应程序
Becka 最近与一家备用数据处理设施签订了合同,在灾难发生时,该设施为她的公司提供空间。该设施包括暖通空调、电力和通信电路,但没有备件设备。Becka 使用的是哪种类型的设施? A 冷备站点 B. 温备站点 C 热备站点 D 移动备站点
A
Greg 的公司最近发生了一起涉及许多客户个人数据的重大数据泄露事件。 他们应该审查哪些泄露法规以确保采取适当的措施? A 他们总部所在州的泄露法规。 B. 他们经营业务的州的泄露法规。 C.仅联邦的泄露法规。 D.泄露法规仅适用于政府机构,而不适用于私营企业。
B
Ben 正在寻找一种在全球范围内广泛接受并专注于信息安全控制的控制目标框架。以下哪个框架最适合满足他的需求? A. ITIL B. ISO 27002 C CMM D PMBOK
B CMM与RMM混淆
ISC2的道德准则适用于所有持有cissP 认证的人员。下列哪一个不是准则 中的四个强制守则之一? A. 保护社会、公共利益、必要的公共信任和基础设施。 B. 披露违反隐私、信任和道德的行为。 C提供勤勉和胜任的服务给委托方。 D.推进和保护专业。
B
信息安全的哪一个原则规定组织应尽可能实施重叠的安全控制? A 最小权限原则 B职责分离 C.深度防御 D.安全通过混淆
C
Ryan 是一名在非营利组织工作的持有CIssP 认证的网络安全专业人员。下列哪些道德义务适 用于他的工作?(选择所有适用项) A.(SC)2 的道德准则 B. 组织的道德准则 C. 联邦道德准则 D. RFC 1087
AB
Ben 负责保护存储在数据库中的支付卡信息的安全。政策要求他从数据库中强制删除这些信息,但出于运营原因,他无法这样做。他获得了对政策的例外,并正在寻找一个适当的补偿性控制措施来减轻风险。他最好的选择是什么? A.购买保险 B.对数据库内容进行加密 C. 删除数据 D.反对例外
B
在作为在线银行开发人员的角色中,Lis日 器要提交她的代码进行河试和甫查。在通过这个过程并荻得批准后,另一位员工梅代码移至生产环境。这个近程描述了哪种安全管理? A. 回归测试 B. 代码审查 C.变更管理 D. Fuzz 测试
C
以下哪项通常不包括在聘用前的筛选过程中? A. 药物测试 B. 背景调查 C.社交媒体审查 D.健康评估
D P34 技能挑战、药物测试、信用核查、驾驶记录检查和性格测试/评估
以下哪些通常被视为供应链风险?(选择所有适用项。) A.对手在交付给最终客户之前篡改硬件 B. 对手入侵组织在laas环境中运行的Web 服务器 C 对手使用社交工程攻击来 ompromisoa Saas 供应商的员工,以获得对客户账户的访问权限 D 对手使用僵尸网络进行拒绝服务攻击
AC