CISSP学习笔记:人员安全和风险管理概念

news2024/11/23 20:33:29

第二章 人员安全和风险管理概念

2.1 促进人员安全策略

  • 职责分离: 把关键的、重要的和敏感工作任务分配给若干不同的管理员或高级执行者,防止共谋
  • 工作职责:最小特权原则
  • 岗位轮换:提供知识冗余,减少伪造、数据更改、偷窃、阴谋破坏和信息滥用的风险,还提供同级审计,防止共谋

2.1.1 筛选候选人

筛选方法:

  1. 背景调查
  2. 社交网络账户复审

2.1.2雇佣协议和策略

  • 雇佣协议
  • 保密协议

2.1.3 解雇员工的流程

2.1.4 供应商、顾问和承包商控制

SLA:服务级别协议

2.1.5 合规性

合规是符合或遵守规则、策略、法规、标准或要求的行为

2.1.6 隐私

2.2安全治理

  • 安全治理是支持、定义和指导组织安全工作相关的实践合集
  • 第三方治理: 由法律、法规、行业标准、合同义务或许可要求规定的监督

2.3理解和应用风险管理概念

2.3.1风险术语

  • 资产: 环境中应该加以保护的任何事物
  • 资产估值: 根据实际的成本和非货币性支出作为资产分配的货币价值
  • 威胁:任何可能发生的、为组织或某些特定资产带来所不希望的或不想要结果的事情
  • 脆弱性:资产中的弱点或防护措施/对策的缺乏被称为脆弱性
  • 暴露:由于威胁而容易造成资产损失,暴露并不意味实施的威胁实际发生,仅仅是指如果存在脆弱性并且威胁可以利用脆弱性
  • 风险:某种威胁利用脆弱性并导致资产损害的可能性 风险 =威胁 * 脆弱性,安全的整体目标是消除脆弱性和㢟长威胁主体和威胁时间危机资金安全,从而避免风险称成为现实
  • 防护措施: 消除脆弱性或对付一种或多种特定威胁的任何方法
  • 攻击: 发生安全机制被威胁主体绕过或阻扰的事情
  • 总结:风险概念之间的关系

2.3.2 识别威胁和脆弱性

IT的威胁不仅限于IT源

2.3.3 风险评估/分析

定量的风险分析

  1. 暴露因子(EF): 特定资产被已实施的风险损坏所造成损失的百分比
  2. 单一损失期望(SLE):特定资产的单个已实施风险相关联的成本 SLE = 资产价值(AV) * 暴露因子(EF)
  3. 年发生占比(ARO):特定威胁或风险在一年内将会发生的预计频率
  4. 年度损失期望(ALE):对某种特定资产,所有已实施的威胁每年可能造成的损失成本 ALE = SLE * ARO
  5. 计算使用防护措施时的年损失期望
  6. 计算防护措施成本(ALE1-ALE2)- ACS
    • ALE1:对某个资产与威胁组合不采取对策的ALE
    • ALE2:针对某个资产与威胁组合采取对策的ALE
    • ACS:防护措施的年度成本

定性的风险分析

  • 场景,对单个主要威胁的书面描述
  • Delphi技术:简单的匿名反馈和响应过程

2.3.4 风险分配/接受

  • 风险消减:消除脆弱性或组织威胁的防护措施的实施
  • 风险转让:把风险带来的损失转嫁给另一个实体或组织
  • 风险接受:统一接受风险发生所造成的结果和损失
  • 风险拒绝:否认风险存在以及希望风险永远不会发生
  • 总风险计算公式:威胁 * 脆弱 * 资产价值 = 总风险
  • 剩余风险计算公式:总风险 - 控制间隙 = 剩余风险

2.3.5 对策的选择和评估

风险管理范围内选择对策主要依赖成本/效益分析

2.3.6 实施

  • 技术性控制:采用技术控制风险
  • 技术控制示例:认证、加密、受限端口、访问控制列表、协议、防火墙、路由器、入侵检测系统、阀值系统
  • 行政管理性控制:依照组织的安全管理策略和其他安全规范或需求而定义的策略与过程
  • 物理性控制:部署物理屏障,物理性访问控制可以防止对系统或设施某部分的直接访问

2.3.7 控制类型

  • 威慑:为了阻吓违反安全策略的情况
  • 预防:阻止不受欢迎的未授权活动的发生
  • 检测:发现不受欢迎的或未授权的活动
  • 补偿:向其他现有的访问控制提供各种选项
  • 纠正:发现不受欢迎或未授权的操作后,将系统还原至正常的状态
  • 恢复:比纠错性访问控制更高级,如备份还原、系统镜像、集群
  • 指令:指示、限制或控制主体的活动,从而强制或鼓励主体遵从安全策略

2.3.8 监控和测量

  • 安全控制提空的益处应该是可以测量和度量的

2.3.9 资产评估

2.3.10 持续改进

  • 安全性总在不断变化

2.3.11 风险框架

  • 分类 对信息系统和基于影响分析做过处理、存储和传输的信息信息进行分类
  • 选择 基于安全分类选择初始化基线、安全基线
  • 实施 实施安全控制并描述如何在信息系统和操作环境中部署操作
  • 评估 使用恰当的评估步骤评估安全系统
  • 授权
  • 监控 不间断的监控信息系统的安全控制

2.4 建立和管理信息安全教育、培训和意识

  • 培养安全意识的目标是将安全放在首位并且让用户意识到这点

2.5 管理安全功能

  • 安全必须符合成本效益原则
  • 安全必须可度量

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1050261.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

CSS详细基础(四)显示模式

本帖开始介绍CSS中更复杂的内容 目录 一.显示模式 1.行内元素 2.块级元素 3.行内块元素 二.背景样式 一.显示模式 顾名思义,在CSS中,元素主要有3种显示模式:行内元素、块级元素、行内块元素~ 所谓块级元素,指的是该元素在…

Springboot+vue的企业人事管理系统(有报告),Javaee项目,springboot vue前后端分离项目。

演示视频: Springbootvue的企业人事管理系统(有报告),Javaee项目,springboot vue前后端分离项目。 项目介绍: 本文设计了一个基于Springbootvue的前后端分离的企业人事管理系统,采用M(model&am…

【kylin】【ubuntu】搭建本地源

文章目录 一、制作一个本地源仓库制作ubuntu本地仓库制作kylin本地源 二、制作内网源服务器ubuntu系统kylin系统 三、使用内网源ubuntukylin 一、制作一个本地源仓库 制作ubuntu本地仓库 首先需要构建一个本地仓库,用来存放软件包 mkdir -p /path/to/localname/pac…

基于微信小程序的手机在线商城小程序设计与实现(源码+lw+部署文档+讲解等)

文章目录 前言系统主要功能:具体实现截图论文参考详细视频演示为什么选择我自己的网站自己的小程序(小蔡coding)有保障的售后福利 代码参考源码获取 前言 💗博主介绍:✌全网粉丝10W,CSDN特邀作者、博客专家、CSDN新星计…

摩根大通限制英国客户购买加密货币,市场掀起涟漪!

摩根大通旗下英国数字银行部门宣布,从下个月开始,将禁止客户进行加密货币交易。这一决定归因于人们越来越担心与加密货币相关的诈骗和欺诈行为的增加。 正如该银行周二表示的那样,从10月16日起,该银行的客户将不再可以选择通过借…

Bee2.1.8支持Spring Boot 3.0.11,active命令行选择多环境,多表查改增删(bee-spring-boot发布,更新maven)

天下大势,分久必合! Hibernate/MyBatis plus Sharding JDBC Jpa Spring data GraphQL App ORM (Android, 鸿蒙) Bee Spring Cloud 微服务使用数据库更方便:Bee Spring Boot; 轻松支持多数据源,Sharding, Mongodb. 要整合一堆的…

数据大帝国:大数据与人工智能的巅峰融合

文章目录 大数据与人工智能:概念解析大数据与人工智能的融合1. 数据驱动的决策2. 自然语言处理(NLP)3. 图像识别与计算机视觉4. 智能推荐系统5. 医疗诊断和生命科学 数据大帝国的未来展望1. 智能城市2. 区块链和数据安全3. 自动化和机器人4. …

分布式搜索引擎es-3

文章目录 数据聚合聚合的种类RestAPI实现聚合 数据聚合 什么是聚合? 聚合可以让我们极其方便的实现对数据的统计、分析、运算。例如: 什么品牌的手机最受欢迎?这些手机的平均价格、最高价格、最低价格?这些手机每月的销售情况如…

Linux CentOS7 vim临时文件

在vim中,由于断网、停电、故意退出、不小心关闭终端等多种原因,正在编辑的文件没有保存,系统将会为文件保存一个交换文件,或称临时文件,或备份文件。 如果因某种原因产生了交换文件,每次打开文件时&#x…

多线程总结(线程池 线程安全 常见锁)

本篇文章主要是对线程池进行详解。同时引出了单例模式的线程池,也对线程安全问题进行了解释。其中包含了智能指针、STL容器、饿汉模式的线程安全。也对常见的锁:悲观锁(Pessimistic Locking)、乐观锁(Optimistic Locki…

使用GDIView排查GDI对象泄漏导致的程序UI界面绘制异常问题

目录 1、问题说明 2、初步分析 3、查看任务管理器,并使用GDIView工具分析 4、GDIView可能对Win10兼容性不好,显示的GDI对象个数不太准确 5、采用历史版本比对法,确定初次出现问题的时间点,并查看前一天的代码修改记录 6、将…

visual studio下载安装

一、官网下载 地址:https://visualstudio.microsoft.com/zh-hans/ 点击免费visual studio 二、安装 运行下载好的exe文件,自定义安装目录 三、选择需要的组件安装 只需要选择标记组件,然后点击安装 等待安装完成就行 四、重启电脑 安装完之后…

windows系统关闭软件开机自启的常用两种方法

win10中安装软件时经常会默认开机自启动,本文主要介绍两种关闭软件开机自启动方法。 方法1 通过任务管理器设置 1.在任务管理器中禁用开机自启动:打开任务管理器,右键已启动的软件,选择禁用。 方法2 通过windows服务控制开机自启…

SpringBoot——常用注解

Spring Web MVC与Spring Bean注解 Controller/RestController Controller是Component注解的一个延伸,Spring 会自动扫描并配置被该注解标注的类。此注解用于标注Spring MVC的控制器。 Controller RequestMapping("/api/v1") public class UserApiContr…

ssm+vue的OA办公管理系统(有报告)。Javaee项目,ssm vue前后端分离项目。

演示视频: ssmvue的OA办公管理系统(有报告)。Javaee项目,ssm vue前后端分离项目。 项目介绍: 采用M(model)V(view)C(controller)三层体系结构&am…

【Java 集合】准备知识

目录 初识集合框架 什么是集合框架 包装器 1. 基本数据类型和对应的包装器 2. 装箱和拆箱 3. 自动装箱和拆箱 4. Integer 存储机制 5. 包装器的作用 泛型 1. 什么是泛型 2. 引出泛型 2.1 泛型语法 3. 泛型类的使用 4. Java泛型实现的机制 -- 擦除机制 5. 泛型的…

PHP变量底层原理

前言 PHP是解释型的语言,它的执行顺序主要会经过以下几步: 1. 进行词法分析 2. 进行语法分析 3. 通过zend编译器,编译成opcode 4. zend虚拟机执行opcode 我们在写PHP代码的时候就知道,PHP是弱语言类型,而PHP底层又是由…

亚马逊无线充UL62368报告办理 无线充UL2738+UL2056标准UL认证办理亚马逊类目审核

什么是UL测试报告和UL认证有什么区别? 美国是一个对安全要求非常严格的国家,美国本土的所有电子产品生产企业早在很多年前就要求有相关安规检测。而随着亚马逊在全球商业的战略地位不断提高,境外的电子设备通过亚马逊不断涌入美国市场&#…

幂级数和幂级数的和函数有什么关系?

幂级数和幂级数的和函数有什么关系? 本文例子引用自:80_1幂级数运算,逐项积分、求导【小元老师】高等数学,考研数学 求幂级数 ∑ n 1 ∞ 1 n x n \sum\limits_{n1}^{\infty}\frac{1}{n}x^n n1∑∞​n1​xn 的和函数 &#xff…

What are the differences between lsof and netstat on linux?

参考:https://stackoverflow.com/questions/49381124/what-are-the-differences-between-lsof-and-netstat-on-linux https://www.cnblogs.com/pc-boke/articles/10012112.html LSOF: List of Open Files. It lists all the open files belonging to all active pr…