柘城网站建设,沙坪坝网站开发,行业资讯网站源码,深圳分销小程序开发平台第二章 人员安全和风险管理概念 2.1 促进人员安全策略
构建工作描述方面的重要因素包括: 职责分离: 把关键的、重要的和敏感工作任务分配给若干不同的管理员或高级执行者#xff0c;防止共谋 工作职责:最小特权原则 岗位轮换:提供知识冗余#xff0c;减少伪造、数据更改、偷…第二章 人员安全和风险管理概念 2.1 促进人员安全策略
构建工作描述方面的重要因素包括: 职责分离: 把关键的、重要的和敏感工作任务分配给若干不同的管理员或高级执行者防止共谋 工作职责:最小特权原则 岗位轮换:提供知识冗余减少伪造、数据更改、偷窃、阴谋破坏和信息滥用的风险还提供同级审计防止共谋 2.1.1 筛选候选人 筛选方法:
背景调查 社交网络账户复审 2.1.2雇佣协议和策略 雇佣协议 保密协议 2.1.3 解雇员工的流程
终止合同的过程 有证人在场归坏公司财产禁止网络访问进行离职面谈以及由人员护送离开公司。 2.1.4 供应商、顾问和承包商控制 SLA:服务级别协议
2.1.5 合规性 合规是符合或遵守规则、策略、法规、标准或要求的行为
2.1.6 隐私 2.2安全治理 安全治理是支持、定义和指导组织安全工作相关的实践合集 第三方治理: 由法律、法规、行业标准、合同义务或许可要求规定的监督 2.3理解和应用风险管理概念
IT安全只能针对逻辑性或技术性的攻击提供保护为了保护IT安全性不受物理攻击就建立建立物理保护措施 2.3.1风险术语 资产: 环境中应该加以保护的任何事物 资产估值: 根据实际的成本和非货币性支出作为资产分配的货币价值 威胁:任何可能发生的、为组织或某些特定资产带来所不希望的或不想要结果的事情 脆弱性:资产中的弱点或防护措施/对策的缺乏被称为脆弱性 暴露:由于威胁而容易造成资产损失暴露并不意味实施的威胁实际发生仅仅是指如果存在脆弱性并且威胁可以利用脆弱性 风险:某种威胁利用脆弱性并导致资产损害的可能性 风险 威胁 * 脆弱性安全的整体目标是消除脆弱性和㢟长威胁主体和威胁时间危机资金安全从而避免风险称成为现实 防护措施 消除脆弱性或对付一种或多种特定威胁的任何方法 攻击: 发生安全机制被威胁主体绕过或阻扰的事情 总结风险概念之间的关系 2.3.2 识别威胁和脆弱性 IT的威胁不仅限于IT源
2.3.3 风险评估/分析 定量的风险分析
暴露因子(EF) 特定资产被已实施的风险损坏所造成损失的百分比 单一损失期望(SLE):特定资产的单个已实施风险相关联的成本 SLE 资产价值(AV) * 暴露因子(EF) 年发生占比ARO:特定威胁或风险在一年内将会发生的预计频率 年度损失期望ALE:对某种特定资产所有已实施的威胁每年可能造成的损失成本 ALE SLE * ARO 计算使用防护措施时的年损失期望 计算防护措施成本ALE1-ALE2- ACS ALE1:对某个资产与威胁组合不采取对策的ALE ALE2针对某个资产与威胁组合采取对策的ALE ACS防护措施的年度成本 定性的风险分析
场景对单个主要威胁的书面描述 Delphi技术:简单的匿名反馈和响应过程 2.3.4 风险分配/接受 风险消减消除脆弱性或组织威胁的防护措施的实施 风险转让把风险带来的损失转嫁给另一个实体或组织 风险接受统一接受风险发生所造成的结果和损失 风险拒绝否认风险存在以及希望风险永远不会发生 总风险计算公式威胁 * 脆弱 * 资产价值 总风险 剩余风险计算公式总风险 - 控制间隙 剩余风险 2.3.5 对策的选择和评估 风险管理范围内选择对策主要依赖成本/效益分析
2.3.6 实施 技术性控制采用技术控制风险 技术控制示例认证、加密、受限端口、访问控制列表、协议、防火墙、路由器、入侵检测系统、阀值系统 行政管理性控制依照组织的安全管理策略和其他安全规范或需求而定义的策略与过程 物理性控制部署物理屏障物理性访问控制可以防止对系统或设施某部分的直接访问 2.3.7 控制类型 威慑为了阻吓违反安全策略的情况 预防阻止不受欢迎的未授权活动的发生 检测发现不受欢迎的或未授权的活动 补偿向其他现有的访问控制提供各种选项 纠正发现不受欢迎或未授权的操作后将系统还原至正常的状态 恢复比纠错性访问控制更高级如备份还原、系统镜像、集群 指令指示、限制或控制主体的活动从而强制或鼓励主体遵从安全策略 2.3.8 监控和测量 安全控制提空的益处应该是可以测量和度量的 2.3.9 资产评估 2.3.10 持续改进 安全性总在不断变化 2.3.11 风险框架 分类 对信息系统和基于影响分析做过处理、存储和传输的信息信息进行分类 选择 基于安全分类选择初始化基线、安全基线 实施 实施安全控制并描述如何在信息系统和操作环境中部署操作 评估 使用恰当的评估步骤评估安全系统 授权 监控 不间断的监控信息系统的安全控制 2.4 建立和管理信息安全教育、培训和意识 培养安全意识的目标是将安全放在首位并且让用户意识到这点
学习层次学习、培训、教育 2.5 管理安全功能
安全管理功能包括信息安全策略的开发和执行。
执行风险评估以驱动安全政策的施行是最明显、最直接的例子。 安全必须符合成本效益原则 安全必须可度量 ———————————————— 版权声明本文为CSDN博主「北航程序员小C」的原创文章遵循CC 4.0 BY-SA版权协议转载请附上原文出处链接及本声明。 原文链接https://blog.csdn.net/Runnymmede/article/details/133364253
