导图社区信息安全风险管理知识点学习笔记

信息安全风险管理知识点学习笔记

信息安全事故:指一个或系列非期望的或非预期的信息安全事件,这些信息安全事件可能对业务运营遭横严重影响或威胁信息安全。 7)信息安全管理体系:指一个或系列... CSDN博客

编辑于2022-11-14 09:39:49 广东

信息安全事

凝

他的近期作品查看更多>>

信息安全风险管理知识点学习笔记

社区模板帮助中心，点此进入>>

凝

他的近期作品查看更多>>

相似推荐
大纲

论语孔子简单思维导图
- 88.9k
- 943
- 1.1k
- 487
- 1
MindMaster
《傅雷家书》思维导图
- 134.5k
- 1.7k
- 2.7k
- 1.3k
- 0
MindMaster
《童年》读书笔记
- 45.8k
- 488
- 986
- 336
- 0
MindMaster
《茶馆》思维导图
- 13.1k
- 175
- 181
- 40
- 0
MindMaster
《朝花夕拾》篇目思维导图
- 26.3k
- 532
- 1.2k
- 300
- 0
MindMaster
《昆虫记》思维导图
- 34.1k
- 272
- 778
- 277
- 0
MindMaster
《安徒生童话》思维导图
- 19.0k
- 276
- 264
- 66
- 0
MindMaster
《鲁滨逊漂流记》读书笔记
- 22.0k
- 310
- 550
- 166
- 0
MindMaster
《这样读书就够了》读书笔记
- 98.6k
- 12.9k
- 9.0k
- 2.2k
- 0
Ethan
妈妈必读：一张0-1岁孩子认知发展的精确时间表
- 10.7k
- 1.7k
- 409
- 39
- 0
Ethan

信息安全风险管理知识点学习笔记

信息安全管理基础

信息安全基本原则

机密性 (confidentiality)

确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体

完整性 (integrity)

确保信息在存储、使用、传输过程中不会被非授权篡改；

防止授权用户或实体不恰当修改信息

保持信息内部和外部的一致性

可用性 (availability)

确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息

相反三元组 DAD

泄漏(Disclosure)

篡改(Alteration)

破坏(Destruction)

信息安全 CIA控制措施

机密性,C

数据加密（整个磁盘、数据库加密）

传输数据加密（IPSec、SSL、PPTP、SSH）

访问控制（物理和技术控制）

完整性,I

哈希（数据完整）

配置管理（系统完整）

变更控制（过程完整）

访问控制（物理和技术控制）

软件数字签名

传输CRC检验功能

可用性,A

冗余磁盘阵列（RAID）

集群

负载均衡

冗余的数据和电源线路

软件和数据备份

磁盘映像

位置和场外设施

回滚功能

故障转移配置

安全管理和支持控制

管理性控制

开发和发布策略、标准、措施和指导原则

风险管理

人员的筛选

指导安全意识培训

实现变更控制措施

逻辑性控制（技术性控制）

实现和维护访问控制机制

密码和资源管理

身份标识和身份验证方法

安全设备

基础设施配置

物理性控制

控制个人对设施和不同部门的访问

锁定系统

去除必要的软驱和光驱

保护设施的周边

检测入侵

环境控制

信息安全管理

技术

信息安全的构建材料

管理

真正的粘合剂和催化剂

三分技术，七分管理

信息安全管理模型

PDCA模型

计划，Plan

根据风险评估结果，法律法规要求、组织业务，运作自身需要来确定控制目标与控制措施

实施，Do

实施所选的安全控制措施。提升人员安全意识

检查，Check

依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查

措施，Action

针对见擦汗结果采取应对措施，改进安全状况

安全管控框架与体系

信息及相关技术控制目标 IT内部控制，Cobit

Cobit解决“实现什么”，ITIL解决“如何实现”

源于COSO框架，Cobit是IT治理框架

Subtopic

《内部控制-整体框架》，COSO 企业内控管理框架

定义了满足财务报告和披露目标的五类内控要素

控制环境

风险评估

控制活动

信息与沟通

检测

很多组织应对SOX404法案合规性的框架

公司治理模型

IT服务管理，ITIL

ITIL是可定制IT服务管理框架

信息技术服务管理标准和最佳实践框架

四大过程

服务战略

服务设计

服务交付

服务运营

持续改进过程

信息安全管理，ISO27001

源于BS7799，BS7799-1对应ISO27002，BS7799-2对应ISO27001

信息安全方面的最佳惯例组成的一套全面的控制集

Zachman，TOGAF企业框架

SABSA安全机构框架

安全控制参考，NIST SP800-53

CMMI软件开发管理

PMBOK，Prince2项目管理

Six Sigma，业务流程管理

ISO38500，IT治理

ISO22301 业务连续性管理

安全策略

类型

规章性策略

用于确保组织机构遵守特定的行业规章建立的标准

一般比较详细，针对专门的行业

适用于包厢机构、卫生保健机构、公共设施和其他政府性控制的行业

建议性策略

用户强烈推荐雇员在组织机构中应该采取的某些行为和活动

对于不遵守的行为进行了相关规定

用户医疗信息处理、金融事务或机密信息处理中

指示性策略

告知雇员的相关信息

非强制性策略，指导个人与公司相关的特定问题

适用于如何与合伙人打交道、公司的目标和任务。

内容侧重点

组织性策略

由高级管理层发布，描述并委派信息安全责任，定义CIA的目标，强调需要关注的信息安全问题

适用于范围是整个组织

功能性策略

特定问题策略，针对特定安全领域或关注点，例如访问控制、持续性计划、职责分离等

针对特定的技术领域，如互联网、电子邮件、无线访问、远程访问等

依赖于业务需要和可接受的风险水平

内容包括特定问题的阐述，组织针对该问题的态度、适用范围、符合性要求，惩戒措施

特定系统策略

针对特定技术或操作领域制定的更细化的策略，如应用或平台

方针

信息安全最一般性的声明

最高管理层对信息安全承担责任的一种承诺

说明要保护的对象和目标

标准

建立方针执行的强制机制

指南

类似于标准，加强系统安全的方法，他是建议性的

基线

满足方针要求的最低级别的安全需求

程序

执行特定任务的详细步骤

程序则是对执行保护任务时具体步骤的详细描述（HOW）

安全计划

安全管理计划应该自上而下

职责：

高层定义组织安全方针

中层将安全策略完成标准、基线、指南和程序，并监控执行

业务经理和安全专家负责实施安全股那里文件中的制定配置

最终用户负责遵守组织的所有安全策略

类型

战略计划， strategic plan

长期计划，例如5年

，相对稳定，定义了组织的目标和使命

战术计划， tactical plan

中期计划，例如1年

对实现战略计划中既定目标的任务和进度的细节描述，例如雇佣计划，预算计划等

操作计划， operational plan

短期的高度细化的计划，经常更新

每月或每季度更新，例如培训计划，系统部署计划等

信息分类

目的：说明需要为每种数据集设定的机密性、完整性和可用性保护等级

根据信息敏感程度，公司采取不同的安全控制措施，确保信息受到适当的保护，指明安全保护的优先顺序

商业公司

公开

敏感

私有

机密

军事机构

非机密

敏感但非机密

秘密

机密

绝密

风险管理

概念：

识别并评估风险、将风险降低至可接受水平、执行适当机制来维护这种级别的过程

100%安全的环境是不存在的，风险管理是收益/成本，安全性/可用性之间的平衡

相关要素

资产：对组织具有价值的信息资产

威胁，可能对资产或组织造成损害的某种安全事件发生的潜在原因

威胁源

脆弱性

也成漏洞或弱点，即资产或资产组中存在的可被威胁利用的弱点，弱点一旦被利用可能对资产造成损害

风险

特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性

可能性

对威胁发生频率的定性描述

影响

后果，意外事件给组织带来的直接或间接的损害或伤害

安全措施

控制或对策，即通过防范威胁、较少弱点，限制意外事件带来影响等途径来削尖风险的机制、方法和措施

残留风险

再试试安全措施之后仍然存在的风险

风险分析

目标：

标识资产和他们对组织机构的价值

识别脆弱性和威胁

量化潜在威胁的可能性及其对业务的影响

在威胁的影响和对策的成本之间达到预算的平衡

方法

NIST SP800-30和 SP800-66

定性RA方法

1，系统分类；2，弱点识别；3，威胁识别； 4，对策识别；5，可能性评估；6，影响评估； 7，风险评估；8，新对策推荐；9，文件报告

OCTAVE

一种基于信息资产风险的自主式信息安全风险评估规范，强调以资产为驱动，由3各阶段、8个过程构成

CRAMM

基本过程：资产识别和评价；威胁和弱点评估；对策选择和建议

FRAP

一种定性的风险评估过程，以对风险评估方法的各个方面和变化形式进行测试

STA

创建一个系统可能面临的所有威胁的树，树枝可以代表诸如网络威胁、物理威胁、组件失效等类别，进行RA时，需要剪除不用的树枝

FEMA

源自硬件分析。考察每个部件或模块的潜在失效，并考察失效影响

对比：NIST和OCTAVE方法关注IT威胁和信息安全风险分析， AS/NZS4360则采取了一种更为广泛的方式进行风险管理。 AS/NZS适用于公司的财政、资本、人员安全和业务决策风险。也可以用于风险安全分析，但并非专门为针对这个目标设计。

定量风险分析

定量风险分析会尝试为风险分析过程的所有元素都赋予具体的和有意义的数字

包括：防护措施的成本、资产价值、业务影响、威胁频率防护措施的有效性、漏洞利用的可能性等。

风险分析步骤：

为资产赋予价值

估计每种威胁的潜在损失

针对每种资产和威胁计算的单一损失期望（SLE）

执行威胁分析

计算年发生比率（ARO）

计算每种威胁的潜在年度损失

每种威胁计算年度损失期望（ALE）

减轻、转移、避免和接受风险

风险计算：

事件发生的频率：ARO（年发生比率）

威胁事件可能引起的损失：EF（暴露因子）

定量计算过程

识别资产并为资产赋值

评估威胁和弱点，评价特定威胁作用于特定资产所造成的影响，即EF（0%～100%）

计算特定威胁发生的次数（频率），即ARO

计算资产的SLE

SLE（单一损失期望）=asset value（资产价值）×EF（暴露因子）

计算资产的ALE

ALE（年度损失期望）= SLE（单一损失期望）×年度发生率（ARO）

定性风险分析

考虑各种风险可能发生的场景，并基于不同的观点对各种威胁的严重程度和各种对策的有效性进行等级排列

定性分析技术

判断、最佳实践、直觉和经验

收集数据的定性分析技术

群体决策方法，delphi

调查问题卷

检查

访谈

定性和定量方法对比

定性方法及结果相对主观

定性方法无法为成本/效益分析建立货币价值

定量方法需要大量的计算，实施比较困难

风险分析过程

识别信息资产

识别每项资产的拥有者、保管者和使用者

建立资产清单，根据业务流程来识别信息资产

信息资产存在的形式

电子数据：数据库和数据文件、用户手册等

书面合同：合同，策略方针，归档文件，重要商业结果

软件资产：应用软件、系统软件、开发工具、软件程序

实物资产：磁介质、电源和空调、网络基础设施、服务器等

人员：承担特定只能和责任的人员或角色

服务：计算和通信服务、外包服务，其他技术性服务

组织形象与声誉：无形资产

评价信息资产

评价因素

受损后造成的直接损失

资产恢复需要的代价，包括检测、控制、修复的人力和物理

组织公众形象和名誉损失，竞争优势损失

其他损失，如保险费用的增加

根据重要性（影响或后果）来划分资产等级，同时考虑保密性、完整性和可用性的受损可能引发的后果

识别和评价威胁

一项资产可能面临多个威胁，一个威胁也可能对多个资产造成影响

识别威胁源

人员威胁

系统威胁

环境威胁

自然威胁

评估威胁可能性是要考虑威胁源的动机和能力因素

识别和评估弱点

针对每个资产可能被利用的弱点

技术性弱点

操作系统弱点

管理型弱点

识别途径

审计报告、实践报告、安全检查报告、系统测试和评估报告

自动化漏洞扫描工具和渗透测试

资产、威胁及弱点关系

风险评价

关键指标

风险影响（Risk impact）

风险可能性（probability）

现有控制措施的考虑

从针对性和实施方式来看

管理性

安全策略、风险管理程序

技术性

包括操作性和技术性措施

逻辑访问控制、日志审计、加密、身份识别、物理和环境安全策略等

物理上

基础环境控制，视频监控、CCTV等

从功能上看

威慑性 (Deterrent)

防止威胁的发生

预防性 (preventive)

保护系统较少弱点

检测性 (Detective)

即使发现安全弱点

纠正性 (corrective)

减小造成的影响

风险处置策略

风险处置方法

减低风险 (Reduce Risk)

减少威胁

实施恶意代码控制措施

减少弱点

通过安全意识培训，强化安全操作能力

降低影响

灾难恢复计划和业务连续性计划，做好备份

规避风险 (Avoid Risk)

转移风险 (Transfer Risk)

接受风险 (Accept Risk)

风险控制措施选择对策

成本/效益分析

基本原则：实施安全措施跌代价不应该大于所要保护资产的价值

对策成本：购买费用，对业务效率的影响，额外人力物力，培训费用，维护成本费用等

控制价值=实施控制之前的ALE-控制的年成本-实施控制后的ALE

约束条件

时间约束，技术约束，环境约束

法律约束，社会约束

防护措施基本功能和有效性

评价残留风险

实施安全控制后残留或残存的风险

残留风险Rr=原有风险R0-控制效力R

残留风险<=可接受的风险Rt

计算方法1

威胁×脆弱性×资产价值=总风险

威胁×脆弱性×资产价值）=总风险

计算方法2

（威胁、脆弱性和资产价值）=总风险

总风险-对策=剩余风险

责任分层

高级管理层

决策层或高级管理层全面负责信息安全，是信息安全的最终负责人

规划信息安全，确定目标优先次序，委派信息安全责任

职责：

明确信息安全目标和方针为信息安全活动指引方向

为信息安全活动提供资源

重大问题做出决策

协调组织不同单位不同环节的关系

最终责任人

信息安全专家

即信息安全官或CSO，受高级管理层委派（通常向CIO）负责实施和维护安全

设计、实施、管理和复查组织的安全策略、标准、指南和程序

协调组织内部各单位之间所有的与安全相互的交互

首席信息管，CIO

监督和负责公司的日常技术运营

首席信息安全官，CSO

确保业务信息资产得到妥善保管

扮演内部信息安全协调和促动的角色

需要理解组织的业务目标i，引导风险管理过程，确保业务操作和可接受风险之间达成恰当的平衡

职责：

为信息安全活动做预算

开发策略、程序、基线、标准和指南的开发

开发安全意识程序

参与管理会议

协助内部和外部的审计

信息系统安全指导委员会

企业内部的战术和战略安全问题做出总体据测，不可以与业务部门有联系

至少每季度召开一次会议

职责：

定义组织机构的可接受风险级别

确定安全目标和找略

根绝业务需求决定安全活动的优先级

审查风险评估和审计报告

监控安全风险的业务影响

审查重大的安全违规核事故

批准安全策略和计划的任何重要变更

安全审计委员会

由董事会任命，帮助其审查和评估公司的内部运作、内部审计系统以及财务报表的透明度和准确性。

负责：

公司财务报表以及前天财务信息的完整性

公司的内部控制系统

独立审计元的雇佣和表现

内部审计功能的表现

安全策略委员会

由高级管理层选择出的负责制定安全策略的组织

通常由高层管理者承担这个责任

可以针对整个组织，也可以是针对具体问题或具体系统而制定

风险管理委员会

从整体上了解该组织索面的的风险并且协助高层管理者把风险降到可接受的程度。

研究整体的业务风险，而不仅仅是IT安全风险

安全委员会

成员来自：高级管理层代表、IT管理者、业务和职能部门负责人、信息安全官等

决策并批准安全相关事务、策略、标准和指南

人员控制

人员职责分层

数据所有者

负责管理某个业务部门，对特定信息自己的保护和应用负最终责任

具有“适当关注”责任

职责

决定数据的分类

定义每种分类的安全需求和备份需求

定义用户访问准则

业务角色而非技术角色

数据管理员

IT或安全部门的角色

职责

执行数据的常规备份

定期验证数据的完整性

备份截至还原数据

实现公司关于信息安全和数据保护的信息安全策略、标准和指导原则

系统所有者

负责一个或多个系统，每个系统可能保存并处理由不同数据所有者拥有的数据

负责将安全因素集成到应用程序和系统中

评估系统脆弱性

采用足够的安全措施保证系统安全

安全管理员

负责实施、监视和执行安全规定和策略

向安全委员会和信息安全官报告

信息系统审计师

检查系统，判断是否满足安全需求以及安全控制是否有效

数据分析员

人员录用控制

背景检查

减少风险、减少招聘成本、减低员工的流动率

技能考核

保密协议

保护公司敏感信息

人员在职控制

职责分离

不应该有人从头到尾的完全控制一项敏感、有价值、或关键的任务

目的：较少欺诈或事务的机会

示例：

金融交易中，一个负责录入、第二个负责检查、第三个负责确认最终交易

开发/生产维护，安全管理/操作/审计，加密密钥管理/密钥更改

知识分割

双重控制

对于较小组织来说，严格职责分离比较困难，可以通过监控、审计等补偿性措施

最小特权

分配职责所需的最小权限

知所必需

工作轮换

不允许某个人过长时间担任某个固定职位，避免个人获得过多的控制

设置人员备份，有利于交叉培训，有利于发现欺诈行为

Subtopic

强制休假

强迫敏感部门人员休假，可以有效发现欺诈、数据修改和资源滥用等

人员离岗控制

离职人员访问权限的禁用

回收具有身份识别的物件

安全意识、培训和教育

目标：

雇员必须意识到保护组织的信息资产；操作者必须经过培训，以便掌握安全履行职责的技能；安全实践者应该接受教育，以便实时和维护必要的安全控制

必须自上而下驱动

意识，Awareness

组织员工对安全和按去哪控制重要性的一般行的集体的意识

方式：

视频，媒体，海报等

“是什么”

传递信息

培训，Training

传授安全相关工作技能，主要对象为信息系统管理和维护人员

方式：

实践性指导，讲座，个案研究，实验

获取知识

“如何做”

教育，Education

为安全专业认识提供工作所需的专业技技术。

方式：

理论性指导，研讨会、阅读和学习，研究

安全见解

“为什么”