CISSP学习笔记之安全管理基础

1.安全管理基础概念
 1.标识组织的所有信息资产
 2.分析安全风险
 3.定义安全的重要性,随时有警觉的心
 4.对安全管理有实施的计划

2. 安全所要具备的要素
 1、CIA
 C 机密性 避免资产被未经过授权的人存取包括授权的和非授权的
 A 可用性 及时而稳定的获取资源
 I 完整性 避免未经授权的人做修改和经授权的人做未经允许的修改
 
3.IT安全需要
 1.功能面(防火墙的功能就是过滤)
 2.确保功能可以达到(通过Log file也确定是否正确)
 3.首先定义安全策略()

4.安全考量
 1.技术面
 2.组织架构
 3.公司文化
 4.管理
 5.业务运营
 6.风险

5.安全政策成功因素
 1.最重要的是高层主管支持
 2.与工作相融合不能有冲突的部分
 3.思考以下部分(业务流程、技术流程呢个、管理流程)
 4.具体的实现(隐私权()、身份管理(对主管进行调查确信可信任)、应用程序、基础架构、管理)

6.安全问题解决思考
 1.不同的需求都考虑在范围内
 2.ERP->VPN->CRM(客户关系管理)->ERP
 3.必须要求一致性

7.实施安全政策
 1.软硬件配置标准(例如防毒、防火墙)
 2.变更(例如文件的销毁,用户的注册等等)
 3.基线(最小的安全等级和一致性、例如windows 2003必须打哪些补丁)
 以上三个都有强制性
 4.可有可无的标准(TCSEC和ITSEC规划等等他们的差别是TCSEC主要是系统、ITSEC加入网络)
 
8.如何做好安全管理
 1.定义角色和责任
  1.一起定义角色和责任(最高层主管、信息安全专家、owners(拥有者)、管理员、用户)
  2.雇佣人员事要注意(验证员工的工作履历、验证员工学历、签署合约、对高层进行背景调查)
  3.离职慎重处理(有两种情况第一个是自愿离职可以给一定缓冲时间、第二个是公司开除不要留任何缓冲时间)
  4.工作方面的事项(重要的工作项目要分工(避免私下串通)、定期工作轮换(舞弊的安全问题)、强制性休假)
  5.确保公司一定程度的安全(内部和外部的审计、高层做不定期的抽查以及安全措施和改进的地方、渗透测试、安全意识宣传(让公司了解安全重要)、技能培训、更深入的培训(让他们知道什么是密码学))
 
 2. 分级制度
  1.重要性(标识重要资产、等级高的进行保护、增加企业的优势、保护法律诉讼文件、根据等级来进行优先恢复减小公司损失)
  2.方向(公务类别、竞争对手有关的类别、公司财务有关的类别)
  3.谁来实施分级(拥有者来进行分级:足够的知识、要了解法律要求、讲求一直性、分级标准定义、加密和解密还有过期性(销毁程序等))
  4.注意事项(贴上警告标签、定期严查重要的资料例如备份、资料删除的时候要注意是否被彻底删除干净、遵循适当的删除策略)
 
 3.风险管理和分析
  1.风险管理目的(找出威胁来源,让风险做到可以接受的)
  2.风险如何形成(威胁和弱点共同存在)例如公司没有安装防火墙就属于公司的弱点,网络上的黑客就是对公司的威胁,如果黑客利用公司的弱点进行攻击成功,那么就有一个风险
  3.风险分析重要性(在企业内部标识风险,及时做好防御措施、考虑法律法规)
  4.新的威胁的产生(新的技术、文化的改变、新产品的出现)
  5.成功关键要素(1.高层主管的支持、2.成立风险评估小组、3.寻找人员加入小组)
  6.公司现有状况可以做到的程度
  7.风险分析类型(定量(数字化)、定性(情景以高中低来进行划分))