导图社区 NISP2级
这是一篇关于NISP2级的思维导图,介绍详细,可以让你更快速更方便去了解学习。有需要的赶紧收藏吧!
社区模板帮助中心,点此进入>>
互联网9大思维
组织架构-单商户商城webAPP 思维导图。
域控上线
python思维导图
css
CSS
计算机操作系统思维导图
计算机组成原理
IMX6UL(A7)
考试学情分析系统
信息安全管理
基础
概述
CIA机密性、完整性、可用性
方法与实施
体系
基于业务风险的方法,
特点
以风险评估为基础
以预防为主
强调动态控制 保护关键资产而不是全部
确保CIA 以确保组织竞争优势和业务持续性
作用
是组织整体管理的重要,固有成分
具有能动性的部分
解决信息安全问题取决于技术和管理
方法
风险评估是信息安全管理的基础
风险处理是 核心
风险管理是信息安全管理的根本方法
控制措施是管理风险的具体手段
手段:技术性、管理性、物理性、法律性等控制措施
功能:预防性(防火墙)、检测性(ids)、纠正性(应急响应)、威慑性等控制措施
过程方法
PDCA循环 (戴明环) P:规划 D:实施 C:检查 A:处置(按序进行)
特点:1.按序进行,不断循环; 2.每个部分,甚至个人,均可以以PDCA循环(大圈套小圈);3.每一次循环都要总结,提出新目标,进入第二次循环。
作用:可以持续改进,有效进行
实施
ISMS
是一种常见的对组织信息安全进行全面、系统管理的方法
信息安全管理体系是PDCA动态持续改进的一个循环体
ISO
ISO27000标准族(需要掌握27001——27005)
NIST SP 800
广义信息安全管理体系
应急响应和灾难恢复
概况
信息系统灾难恢复
灾难恢复相关技术
信息安全管理体系
四项重点工作
管理者
承担并履行责任、提供足够资源
文档控制(层次化文档结构4级)
文件、记录
内部审核和管理审核
ISMS认证
PDCA建设
信息安全控制措施
安全方针
安全组织
资产管理
人力资源管理
物理和环境安全
子主题
访问控制
符合性
信息安全风险管理
要素概念
信息安全风险会破坏信息资产的CIA
风险的构成 起源(威胁源)、方式(威胁行为)、途径(脆弱性)、受体(资产)、后果(影响)
资产:风险的载体 资产任何有价值的东西,是要保护的对象
资产以多种形式存在:物理、逻辑、硬件、软件、有形、无形、技术、管理、动态大于静态
威胁:引起风险的外因
脆弱性:造成风险的内因
过程、结构、应用 三复杂
可能性:威胁源利用脆弱性造成不良后果的机会
风险评估加措施=管理
安全措施/控制措施
残余风险:考虑成本和效益后不去控制的风险,但需要密切监视
原则
范围和对象
信息、信息载体、信息环境
政策要求
中办发【2003】27号 纲领性文件
国信办【2006】5号 风险评估工作应贯穿全生命周期 高度重视风险评估 开始等级保护
发改高技【2008】2071号 项目验收申请时,应提交信息安全风险评估报告
主要内容
四个阶段,两个贯穿
3.风险处置四种:减低、转移、规避、接受风险
系统设计阶段的安全目标:规划、设计、实施、运维、废弃
风险评估
自评估为主,检查评估辅二者都可以外包
定性风险分析
矩阵法
不够客观 容易实施简单
定量风险分析
产生数据、公式 资产价值(AV)清单,计算财务损失
将资产价值与暴露系数相乘(EF)计算出SLE(单一预期损失)
确定年发生率ARO
确定年度预期损失ALE=SLE*ARO=AV*EF*ARO
安全投资收益ROSI=实施控制前ALE-实时控制后ALE-年控制成本
年度控制成本=实施后成本*收益比
客观 难以实施,技术复杂,人员要求高
半定量风险分析
安全控制:预防性措施、检测性措施、纠正性措施、威慑性措施
