安全部门不仅负责管理IT合规性要求，还负责管理整个组织的策略、实践、数据分类分级和访问授权规则。

数据安全最好在企业级层面开展。

信息安全管理实施步骤

强大的信息安全能够推动交易进行并建立客户的信心。

元数据是管理敏感数据的方法之一。

1）支持适当访问并防止对企业数据资产的不当访问

2）支持对隐私、保护和保密制度、法规的遵从。

3）确保满足利益者相关方对隐私和保密的要求。

1）协同合作

2）企业统筹

3）主动管理

4）明确责任

5）元数据驱动

6）减少接触以降低风险

脆弱性是系统中容易遭受攻击的弱点或缺陷，本质上是组织防御中的漏洞。

威胁是一种可能对组织采取的潜在进攻行动。

威胁包括发送到组织感染病毒的电子邮件附件、使网络服务器不堪重负以致无法执行业务的进程，以及对已知漏洞的利用等。

风险既指损失的可能性，也指构成潜在损失的事物或条件。

计算风险的几个方面

1）关键风险数据

2）高风险数据

3）中等风险数据

大型企业通常设有向CIO或CEO报告的手席信息安全官CISO。

（1）4A

（2）监控

数据完整性是一个整体状态要求，以免于遭受不当增/删改所造成的影响。

（1）哈希

（2）对称加密

（3）非对称加密

混淆处理指变得模糊或不明确，脱敏指删除、打乱或以其他方式更改数据的外观等。

数据脱敏

（1）后门：指计算机系统或应用程序的忽略隐藏入口。如软件系统默认密码保持不变，黑客早晚会发现它的存在。

（2）机器人或僵尸：指已被恶意黑客使用特洛伊木马、病毒、网络钓鱼或下载受感染文件接管的工作站。

（3）Cookie：网站在计算机硬盘上安放的小型数据文件，用于识别老用户并分析其偏好。

（4）防火墙：过滤网络流量的软件或硬件，用户保护单个计算机或整个网络免受未经授权的访问和攻击。

（5）周界：指组织环境与外部系统之间的边界。

（6）DMZ：非军事区的简称，指组织边缘或外围区域。

（7）超级用户账户

（8）键盘记录器：一种攻击软件，对键盘上键入的所有击键进行记录，然后发送到互联网上的其他地方。

（9）渗透测试：来自组织本身或从外部安全公司聘任的“白帽”黑客试图从外部侵入系统，正如恶意黑客一样，试图识别系统漏洞。

（10）虚拟专用网络VPN：允许用户和内部网络之间通信，通过使用多重身份验证元素连接到组织环境外围的防火墙。

（1）设施安全

（2）设备安全

（3）凭据安全

（4）电子通信安全

1）保密等级

2）监管要求

机密数据

法规系列举例

行业法规或基于合同的法规

（1）滥用特权

（2）滥用合法特权

（3）未经授权的特权升级

（4）服务账户或共享账户滥用

（5）平台入侵攻击

（6）注入漏洞

（7）默认密码

（8）备份数据滥用

黑客是在复杂的计算机系统中发现未知操作和路径的人。黑客有好有坏。

网络钓鱼是指通过电话、即时信息或电子邮件诱使接受方在不知情的情况下提供有价值的信息或个人隐私。

社工威胁通常涉及直接通信，旨在诱使有权访问受保护数据的人提供信息给拟用于犯罪或恶意目的的人。

广告软件

间谍软件

特洛伊木马

病毒

计算机蠕虫

恶意软件的来源

组织的业务需求、使命、战略和规模以及所属行业，决定了所需数据安全的严格程度。

建立一份完整的清单，包含所有相关数据法规以及受每项法规影响的数据主题域，为法规遵从而制定的相关安全策略和控制措施之间建立链接关系。

保密等级分类是重要的元数据特征，用于指导用户如何获得访问权限。

安全分级和监管分类的一项原则是大多数信息可以聚合，从而使其具有更高或更低的敏感性。

角色分配矩阵

角色分配层次结构

1）培训

2）制度的一致性

3）衡量安全性的收益

4）为供应商设置安全要求

5）增强紧迫感

6）持续沟通

1）用于管理数据安全的工具

2）数据加密标准和机制

3）外部供应商和承包商的数据访问指南

4）通过互联网的数据传送协议

5）文档要求

6）远程访问标准

7）安全漏洞事件报告规程

1）安装了最新安全补丁程序的企业计算机百分比

2）安装并运行最新反恶意软件的计算机百分比

3）成功通过背景调查的新员工百分比

1）风险评估结果

2）风险事件和配置文件

3）正式的反馈调查和访谈

4）事故复盘、经验教训和受访者访谈

5）补丁有效性审计

1）特定数据类型和信息系统的关键性排名

2）与数据丢失、危害或损坏相关的事故、黑客攻击、盗窃或灾难的年损失预期

3）特定数据丢失的风险与某些类别的受监管信息以及补救优先级排序相关。

4）数据与特定业务流程的风险映射。

1）检测到并组织了入侵尝试数量

2）通过防止入侵节省的安全成本投资回报