没有合适的资源?快使用搜索试试~ 我知道了~
第一章-信息安全治理与风险管理.docx
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 201 浏览量
2022-06-20
04:12:38
上传
评论
收藏 616KB DOCX 举报
温馨提示
![preview](https://dl-preview.csdnimg.cn/85700347/0001-9aea4332efa323575eaaa5432bf1f62b_thumbnail-wide.jpeg)
![preview-icon](https://csdnimg.cn/release/downloadcmsfe/public/img/scale.ab9e0183.png)
试读
21页
第一章-信息安全治理与风险管理.docx第一章-信息安全治理与风险管理.docx第一章-信息安全治理与风险管理.docx第一章-信息安全治理与风险管理.docx第一章-信息安全治理与风险管理.docx第一章-信息安全治理与风险管理.docx第一章-信息安全治理与风险管理.docx第一章-信息安全治理与风险管理.docx
资源推荐
资源详情
资源评论
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![](https://csdnimg.cn/release/download_crawler_static/85700347/bg1.jpg)
信息安全治理与风险管理分为以下几个部分:
1、 信息安全管理基础
2、 安全管控框架与体系
3、 安全策略
4、 安全计划
5、 信息分类
6、 风险管理
7、 责任分层
8、 人员控制
9、 安全意识、培训和教育
10、 BCP 业务连续性
11、 法律、道德、合规
信息安全管理基础
1. 信息安全基本原则
机密性(condenality):确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体
完整性(integrity):1. 确保信息在存储、使用、传输过程中不会被非授权篡改;2. 防止授权用户或实体不恰当修
改信息;3. 保持信息内部和外部的一致性
可用性(availability):确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问
信息。
相反三元组 DAD:泄漏(Disclosure);篡改(Alteraon);破坏(Destrucon)
信息安全 CIA 控制措施:
机密性:数据加密(整个磁盘、数据库加密);传输数据加密(IPSec、SSL、PPTP、SSH);访问控制(物理和技
术控制)
完整性:哈希(数据完整);配置管理(系统完整);变更控制(过程完整);访问控制(物理和技术控制);软
件数字签名;传输 CRC 检验功能
可用性:冗余磁盘阵列(RAID);集群;负载均衡;冗余的数据和电源线路;软件和数据备份磁盘映像;位置和
场外设施;回滚功能;故障转移配置
2. 安全管理和支持控制:
管理性控制
开发和发布策略、标准、措施和指导原则
风险管理
人员的筛选
指导安全意识培训
实现变更控制措施
逻辑性控制 (技术性控制)
实现和维护访问控制机制
密码和资源管理
身份标识和身份验证方法
安全设备
基础设施配置
物理性控制
控制个人对设施和不同部门的访问
锁定系统
去除必要的软驱和光驱
保护设施的周边
检测入侵
环境控制
![](https://csdnimg.cn/release/download_crawler_static/85700347/bg2.jpg)
3. 信息安全管理:
技术
信息安全的构建材料
管理
真正的粘合剂和催化剂
三分技术,七分管理
4. 信息安全管理模型:PDCA
计划,Plan
根据风险评估结果,法律法规要求、组织业务,运作自身需要来确定控制目标与控制措施
实施,Do
实施所选的安全控制措施。提升人员安全意识
检查,Check
依据策略、程序、标准和法律法规,对安全措施的实施情况进行符合性检查
措施,Acon
针对检查结果采取应对措施,改进安全状况
5. GRC-治理、风险与合规
安全管控框架与体系
1. 信息及相关技术控制目标 IT 内部控制,Cobit
Cobit 解决“实现什么”,ITIL 解决“如何实现”
源于 COSO 框架,Cobit 是 IT 治理框架
Subtopic
《内部控制-整体框架》,COSO 企业内控管理框架
定义了满足财务报告和 披露目标的五类内控要素
控制环境
风险评估
控制活动
信息与沟通
检测
很多组织应对 SOX404 法案合规性的框架
公司治理模型
2. IT 服务管理,ITIL
ITIL 是可定制 IT 服务管理框架
信息技术服务管理标准和最佳实践框架
五大过程
服务战略
服务设计
服务交付
服务运营
持续改进过程
3. 信息安全管理,ISO27001
![](https://csdnimg.cn/release/download_crawler_static/85700347/bg3.jpg)
源于 BS7799,BS7799-1 对应 ISO27002,BS7799-2 对应 ISO27001
信息安全方面的最佳惯例组成的一套全面的控制集
2013 版,14 个域
4. Zachman,TOGAF 企业框架
5. SABSA 安全机构框架
6. 安全控制参考,NIST SP800-53r4
7. 2014 年关键基础设施安全控制框架:NIST CyberSecurity Framework
8. CMMI 软件开发管理
9. PMBOK,Prince2 项目管理
10. Six Sigma,业务流程管理
11. ISO38500,IT 治理
12. ISO22301 业务连续性管理
安全策略
1. 类型
规章性策略
1) 用于确保组织机构遵守特定的行业规章建立的标准
2) 一般比较详细,针对专门的行业
3) 适用于包厢机构、卫生保健机构、公共设施和其他政府性控制的行业
建议性策略
1) 用户强烈推荐雇员在组织机构中应该采取的某些行为和活动
2) 对于不遵守的行为进行了相关规定
3) 用户医疗信息处理、金融事务或机密信息处理中
指示性策略
1) 告知雇员的相关信息
2) 非强制性策略,指导个人与公司相关的特定问题
3) 适用于如何与合伙人打交道、公司的目标和任务。
2. 内容侧重点
组织性策略
1) 由高级管理层发布,描述并委派信息安全责任, 定义 CIA 的目标,强调需要关注的信息安全问题
2) 适用于范围是整个组织
功能性策略
1) 特定问题策略,针对特定安全领域或关注点, 例如访问控制、持续性计划、职责分离等
2) 针对特定的技术领域,如互联网、电子邮件、无线访问、远程访问等
![](https://csdnimg.cn/release/download_crawler_static/85700347/bg4.jpg)
3) 依赖于业务需要和可接受的风险水平
4) 内容包括特定问题的阐述,组织针对该问题的态度、 适用范围、符合性要求,惩戒措施
特定系统策略
针对特定技术或操作领域制定的更细化的策略,如应用或平台
3. 方针
信息安全最一般性的声明
最高管理层对信息安全承担责任的一种承诺
说明要保护的对象和目标
4. 标准
5. 指南
6. 基线
7. 程序
建立方针执行的强制机制
类似于标准,加强系统安全的方法,他是建议性的
满足方针要求的最低级别的安全需求
执行特定任务的详细步骤
程序则是对执行保护任务时具体步骤的详细描述(HOW)
8. 采购安全策略与实践
供应链风险与安全控制
硬件、软件与服务采购
1) 制定安全基线,明确采购的产品和服务的最低安全要求
2) 对供应商人员进行安全培训
3) 制定供应商安全管理策略,定义通用的安全控制方法
4) 增加对 OEM 厂商、分销商和集成商的控制
5) 对供应商网络安全风险进行审计
最低安全要求与服务级别需求
通过 SLA 明确服务水平要求和最低安全要求
安全计划
全管理计划应该自上而下
类型
战略计划, strategic plan
长期计划,例如 5 年,相对稳定,定义了组织的目标和使命
战术计划, taccal plan
中期计划,例如 1 年
对实现战略计划中既定目标的任务和进度的细节描述, 例如雇佣计划,预算计划等
操作计划, operaonal plan
短期的高度细化的计划,经常更新
每月或每季度更新,例如培训计划,系统部署计划等
信息分类
目的:说明需要为每种数据集设定的机密性、完整性和可用性保护等级
根据信息敏感程度,公司采取不同的安全控制措施, 确保信息受到适当的保护,指明安全保护的
优先顺序
商业公司
公开
敏感
私有
机密
军事机构
非机密
剩余20页未读,继续阅读
资源评论
![avatar-default](https://csdnimg.cn/release/downloadcmsfe/public/img/lazyLogo2.1882d7f4.png)
![avatar](https://profile-avatar.csdnimg.cn/default.jpg!1)
apple_51426592
- 粉丝: 9655
- 资源: 9657
上传资源 快速赚钱
我的内容管理 展开
我的资源 快来上传第一个资源
我的收益
登录查看自己的收益我的积分 登录查看自己的积分
我的C币 登录后查看C币余额
我的收藏
我的下载
下载帮助
![voice](https://csdnimg.cn/release/downloadcmsfe/public/img/voice.245cc511.png)
![center-task](https://csdnimg.cn/release/downloadcmsfe/public/img/center-task.c2eda91a.png)
安全验证
文档复制为VIP权益,开通VIP直接复制
![dialog-icon](https://csdnimg.cn/release/downloadcmsfe/public/img/green-success.6a4acb44.png)