没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
D1:安全和风险管理
单元一:信息安全管理基础
1.1 理解和应用机密性、完整性和可用性的概念
A、信息安全的定义
业务视角:采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及
泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最
小,确保组织业务运行的连续性。
安全视角:安全的核心目标是为关键资产提供可用性、完整性和机密性(CIA 三元
组)保护。
B、信息安全的核心原则
信息安全的核心原则是为重要业务信息系统提供机密性、完整性和可用性(CIA 三元
组)的保护。其中:
机密性(Confidentiality):确保信息在存储、使用、传输过程中不会泄漏给非
授权用户或实体。
完整性(Integrity):确保信息在存储、使用、传输过程中不会被非授权篡改,
防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。
可用性(Availability):确保授权用户或实体对信息及资源的正常使用不会被
异常拒绝,允许其可靠而及时地访问信息及资源。
所有的安全机制、控制和防护措施都是为了支撑这些原则中的一个或者多个,并且根
据业务中动态变化的风险,来平衡一个或者多个 CIA 原则。这三个元组的对立面通常称为
DAD,即:泄漏、篡改、破坏。
C、除了 CIA 还有其它什么相关安全概念?
帕克里安(Parkerian Hexad)六元组架构,除了 CIA 三元组外还包括了:
真实性(Authenticity):指信息确实来自其所有者,能够对伪造的信息进行鉴
别。
实用性(Utility):信息能够被用于特定的目的。
拥有或控制(Possession or control):财务上能否确认一项资产,很重要的一
个判断标准是看该项资源是否为本单位所拥有或能够控制。
除了帕克里安六元组架构之外,还可能会经常涉及一些其它基本安全概念。这些概念
包括两个方面的:描述安全问题方面的概念和描述安全控制方面的概念。
其中描述安全问题方面的概念:
脆弱性(vulnerability):指系统中允许威胁来破坏其安全性的缺陷。
威胁(threat):指利用脆弱性而带来的任何潜在危害。
风险(risk):指威胁利用信息系统的脆弱性的可能性以及带来的相应业务影
响。
暴露(exposure):指造成损失的实例。
其中描述安全控制方面的概念:
按类型分:行政类控制(administrative control)、技术类控制(technical
control)、物理类控制(physical control)。
按功能分:预防性控制(Preventive)、检测性控制(Detective)、纠正性控
制(Corrective)、威慑性控制(Deterrent)、恢复性控制(Recovery)、补
偿性控制(Compensating)、指引性控制(Directive)
1.2 评估和应用安全治理原则
A、信息安全治理的定义
信息安全治理是一套信息安全解决方案和相互紧密联系的管理方法。信息安全治理提
供了一个框架:定义目标、协调、实施和监督涉及所有安全相关方面。信息安全治理不仅
仅是技术,同时信息安全治理经常放在一个层次较高的层面,保障业务的持续运行和向更
好的方向发展。
B、信息安全治理的重要性
信息安全治理要把安全能力与业务战略、任务、使命和目标联系在一起,并支撑着组
织的业务架构和目标。为了达到这样的目的:
作为管理层对于信息安全治理要关注以下内容:设定策略和战略的方向,提供安
全活动资源,指派管理责任,设定安全计划的优先级,支持必须变更,定义与风
险评估相关文化,从内外部审计获取保障以及坚持安全投资被度量和听取项目有
效性的汇报。
作为安全专家对于信息安全治理要关注以下内容:要认识组织的愿景、任务和目
标,掌握组织在其生命周期中的安全问题,理解组织中与安全相关的角色和责
任,理解和保障信息安全策略的实施,理解和保证企业符合法律、法规和道德的
要求。以此同时,安全专家需要和管理层建立联系,以确保这些目标的实现。
C、通过制定和实施信息安全计划达到安全目标
安全计划能确保安全策略的适当创建、实现和实施。安全计划将安全功能与组织的战
略、目标、任务和愿景相结合,这包括根据商业论证、预算限制或稀缺资源设计和实现安
全性。
安全计划由多个实体有机构成的框架,包括:管理、技术和物理类的保护机制,程
序、业务过程和人。这些实体有些是模块,如果一个缺失或不完整,那么整个架构就会搜
到影响;有些实体是过程,把相关安全机制能够有效的连接起来,并通过一定的顺序为企
业信息系统提供保护级别。解决安全计划编制的最有效方法是采用自上而下的方式,安全
规划必须得到高级管理者的支持和批准。
安全计划主要包括四个阶段:计划和组织、实施、运营和维护、监测和评估。其中:
计划和组织阶段包括:建立管理承诺、建立监督指导委员会、评估业务驱动、开
发组织的威胁配置文件、进行风险评估、开发安全框架、确定每个架构层面的解
决方案、获得管理层的批准和支持;
实施阶段包括:分配角色和职责、开发和实现安全策略、实现安全架构、开发审
计和监控解决方案、建立服务水平(SLA)和度量指标;
运营和维护阶段:遵守流程以确保架构中每个机制都满足基线要求,进行内部和
外部审计,执行相关架构中要求的任务,管理服务水平协议(SLA);
监测与评估阶段:审查和分析日志、评估架构目标和 SLA 的完成情况、形成结果
报告、开会评审、制定开进计划并融入计划和组织阶段。
这里有不少的行业标准和经验值得我们借鉴,包括:
企业框架,如:Zachman、TOGAF 和 SABSA
Zachman 框架:是一个二维模型,“它使用了 6 个基本的疑问词(什么、如
何、哪里、谁、何时、为何)和不同的视知观点(计划人员、所有者、设计
人员、建设人员、实施人员和工作人员)二维交叉,”它给出了企业的一个
整体性理解。
TOGAF(开放群组架构框架,The Open Group Architecture Framework,
TOGAF):是由美国国防部开发并提供了设计、实施和治理企业信息架构的方
法。架构允许技术架构设计师从企业的不同视角(业务、数据、应用程序和
技术)去理解企业,以确保开发出环境及组件所必需的技术,最终实现业务
需求。
SABSA(舍伍德的商业应用安全架构,Sherwood Applied Business Security
Architecture):是一个分层模型,它在第一层从安全的角度定义了业务需
求。
安全控制框架,如:COSO、COBIT
COSO(反欺诈财务报告全国委员会发起组织委员会):是由 COSO 于 1985 年
开发的,旨在用来处理财务欺诈活动并汇报。COBIT 派生于 COSO 内部控制整
合框架。
COBIT (信息及相关技术的控制目标):是一组由国际信息系统审计与控制
协会(ISACA)和 IT 治理协会(ITGI)制定的一个治理与管理的框架。COBIT
规定了安全控制的目标和要求,鼓励将 IT 的理想安全目标映射到商业目标
中。COBIT 5 的基础是企业 IT 治理和管理的 5 条关键原则: 原则 1 : 满足
利益相关者的需求; 原则 2: 对企业做到端到端的覆盖: 原则 3: 使用单一的
集成框架; 原则 4: 使用整合处理法: 原则 5: 把治理从管理中分离出来。
COBIT 不仅可用于计划组织的盯安全, 也可以作为组织审计师的指导方针。
安全管理架构,如 ISO/IEC 27000 系列
ISO/IEC 27000 系列 ISO 和 IEC 联合开发的关于如何开发和维护信息安全管
理体系(ISMS)的国际标准,主要包括:
ISO/IEC 27000:概述和词汇
ISO/IEC 27001:ISMS 要求
ISO/IEC 27002:信息安全管理实践措施
ISO/IEC 27003:信息安全管理体系实施指南
ISO/IEC 27004:信息安全管理衡量指南与指标框架
ISO/IEC 27005:信息安全风险管理指南
过程管理开发,如 ITIL 和 CMMI
ITIL:用于 IT 服务管理的过程。
CMMI(能力成熟度模型集成):用来作为确定组织流程成熟度的一种方式。
D、组织中角色、责任和评价
安全角色是指个人在组织内的安全实施和管理总体方案中所扮演的角色。接下来,我
们概要要介绍一下企业中 6 种安全角色和责任:
高级管理层:组织所有者(高层管理者)的角色被分配给最终负责组织机构安全维
护和最关心保护资产的人。高层管理者必须对所有策略问题签字,高层管理者对
安全策略的认同表明承认在组织机构内部实现的安全性的所有权。高层管理者对
安全解决方案的总体成败负有责任,并且负责对组织机构建立安全性予以适度关
注并尽职尽责。在大多数情况下,相应的责任会被委派给组织内部的安全专家。
安全专家:安全专家、信息安全官或计算机应急响应团队(CIRT)的角色被分配
给受过培训和经验丰富的网络工程师、系统工程师和安全工程师,他们对落实高
层管理部门下达的指示负责。安全专家的职责是保证安全性,包括制定和实现安
全策略。安全专家不是决策制定者, 他们只是实现者。
数据所有者(Data Owner):数据所有者的角色被分配给在安全解决方案中为了
放置和保护信息而负责对信息进行分类的人。通常, 数据所有者是层次较高的、
最终负责数据保护的管理者。数据所有者一般会将实际管理数据的任务委派给数
据监管者员。
数据监管者(Data Custodian):数据监管者的角色被分配给负责实施安全策略
和上层管理者规定的保护任务的人员。数据监管者通过执行所有必要的措施为数
据提供适当的 CIA 三元组(机密性、完整性和可用性)保护,并完成上层管理者委
派的要求和责任。
用户(User):用户(最终用户或操作者)的角色被分配给具有安全系统访问权限
的任何人。用户负责了解组织的安全策略,并遵守规定的操作过程。
审计人员(Auditor):审计人员负责测试和认证安全策略是否被正确实现以及衍
生的安全解决方案是否合适。审计人员要完成遵守情况报告和有效性报告,高层
管理者会审查这些报告。通过这些报告发现的问题,会由高层管理者转换成下达
给安全专家或数据管理员的新指示。
在前面我们讲述了管理层和安全专家在信息安全治理中不同的关注点和责任,那么怎
么衡量他们以及企业中其他人是否尽职尽责呢?我们一般从以下两个方式来衡量:
应尽职责(Due Diligence):一般是指调查和了解公司面临的风险,并指派相应
人员去缓解风险,并保持持续的更新。
应尽关注(Due Care):一般是指开发和制定了相关的安全策略、流程和标准,
并采取相关的措施去保护企业中相关的信息资产。
E、开发、文档化和实施安全策略、标准、指南、基线和措施
安全策略是高级管理层(或是选定的董事会和委员会)制定的一个全面声明,它定义
了安全在组织内所扮演的角色。安全策略可以是组织化策略,也可以是针对特定问题的策
略。在组织化安全策略中,管理层规定了应该如何建立安全计划,制定安全计划的目标,
分配责任,说明安全的战略和战术价值,并且概述了应该如何执行安全计划。这种策略必
须涉及相关法律、法规、责任以及如何遵守这些规范。组织化安全策略为组织内部未来的
所有安全活动提供了范围和方向,还说明了高级管理层愿意接受多大的风险。常见的针对
特定问题安全策略有:风险管理策略、脆弱性管理策略、数据保护策略、访问控制策略、
业务连续性策略、日志聚集和审计策略、人员安全策略、物理安全策略、安全应用程序开
发策略、变更控制策略、电子邮件策略、事件响应策略
安全策略具有一些必须理解和实现的重要特征:业务目标应促进策略的制定、实现和
执行。组织化安全策略应当是一份易于理解的文档,为管理层和所有员工提供参考;应当
开发和用于将安全整合到所有业务功能和过程中;应当源于并支持适用于公司的所有法律
法规;应当随公司的发展变化(如采用新的商业模式、与其他公司合并或者所有权发生变
更)进行审核和修订;组织化安全策略的每次更迭都应当注明日期,并在版本控制下进
行;受策略监管的部门和个人必须能够查看适用于他们的策略内容,并且不必阅读整个策
略材料就能找到指导和答案;制定策略应以该策略一次性能够使用几年为目的。这将有助
剩余146页未读,继续阅读
资源评论
manao_rainbow
- 粉丝: 0
- 资源: 7
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 基于QT的地图可视化桌面系统后台数据库为MySQL5.7源码.zip
- 基于simulink的PLL锁相环系统仿真【包括模型,文档,参考文献,操作步骤】
- 基于EM-GMM模型的目标跟踪和异常行为检测matlab仿真【包括程序,注释,参考文献,操作步骤,说明文档】
- 2109010044_胡晨燕_选课管理数据库设计与实现.prj
- 帕鲁介绍的PPT备份没什么好下的
- demo1-202405
- 两种方式修改Intel网卡MAC地址
- 服务器搭建所需资源:static文件夹
- Vue02的源码学习资料
- Python 程序语言设计模式思路-行为型模式:访问者模式:在不改变被访问对象结构的情况下,定义对其元素的新操作
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功