CISSPin21Days-中文全解.doc

第2章：第1天，信息安全与风险管理 1策划，组织，并确定和保护企业的信息资产的个人角色： 最后，应查明需要被保护的资产，确定安全需求的级别和类型。等级是根据CIA（中情局）的要求和类型为物理，逻辑，环境，等。识别两个重要过程：资产分类和风险评估。 资产分类是基于敏感度，用于根据它们的类型进行资产分组（例如，物理，硬件，软件，文件的文件，等），并进行分类它们（例如，保密，私有，公共，等）。风险评估是确定定量的（例如，货币值）或定性的（例如，高，中，低）的风险的基础上的类型、敏感级别，并且该资产的价值的方法。 2、开发和使用说明管理层的观点和特定的位置策略： HR）政策，风险管理政策，准入政策，等。 开发和利用的准则，标准和程序，以支持政策： 准则，标准和程序的开发，支持政策。 /呼出的流量应过滤防火墙策略状态，以仅允许授权的连接，然后准则指定的规则和可接受的方法来执行。例如，普遍接受的原则和保护NIST特别出版物800-14的信息技术系统的实践是一个指导性文件。 ISO / IEC 27001：2005是可以作为一个参考点，在组织中的安全管理程序中的信息安全管理体系（ISMS）标准。 4、安全意识培训，以提醒员工对信息安全，它的要求相对于其位置的重要性： 5、保密，专有信息和私人信息的重要性： /规章的要求的。 6就业协议，员工招聘和终止做法： 7、风险管理做法： 8、使用工具来识别，并降低风险特定的资源： 基于CISSP考试的知识，这一章大致四个部分： 第1节：安全管理实践介绍各种概念实践和与信息安全的全面管理。 2节：从信息安全角度来看资产分类和控制涵盖了所有重要的“资产管理”的做法。根据资产的重要性，并合适的安全控制，从而确保信息安全资产的分组。此部分还涉及了在政府和私人机构分类类型。 或政府，它表示美国政府。 3节：关于意识的相关性作为最重要的风险缓解战略安全意识和培训讲座，作为人类，被认为是在信息安全链中“最薄弱的环节”。 4节：用如定量和定性分析，风险评估实践的概念，风险管理实践的交易，和风险缓解策略，如移动，转移和规避风险。本节还引入了风险管理做法，如事件管理，业务连续性计划和灾难恢复计划的进程子集。 各种安全管理做法在行业盛行 信息安全的原则 识别的概念，和问责制 对信息安全的控制环境 一些全球信息安全相关的标准和准则 各种分类类型的政府和企业的 信息安全一直被认为是纯粹的信息技术（IT）换句话说，技术控制被认为是足以缓解信息安全风险。然而，这种组织开始认识到信息安全包括管理与行政相关的控制可能不。例如，防火墙进企业的流量。允许进出网络的数据的合法分组和未经授权或恶意的数据进入内部网络。因此，它是一个技术控制。然而，仅仅安装防火墙可能并不安全性方面根据其业务目标和信息安全政策的管理决定授权的流量。这是管理 为了理解信息安全，我们需要界定“信息”。信息是企业的资产，对组织而言具有价值的事物。信息中存在于多种形式，它可以印刷或写在??纸上，存储在电子媒体，由电子装置发送，或在会话中传递。 信息安全管理的特点是保护信息及相关资产的保密性、完整性和可用性（CIA）。这三个概念被称为信息安全的原则。三个原则以三角形格式来表示，并且因此被称为一个CIA三元组。 保密性是确保信息不泄露给未经授权的实体。 是保持信息内部和外部一致性。 可用性是确保有需要时信息提供给授权实体。 每个资产具有维持CIA的水平。它并不总是必要的机密信息，例如，银行的储物柜。虽然该资产是高度机密的，它的可用性要求仅限于营业时间。同样，公司网站的主页机密信息，但可用性要求较高。 一旦授权生效时，重要的是该实体的活动仅限于访问授权的资源。为了确保这一点，必须进行监视活动。系统中的监视一个实体的行为的活动被称为问责。访问日志和审计跟踪是这些活动的例子。 最重要的是，即使是授权实体访问的信息，该信息的保密要求的水平决定了信息被执行的动作，是否可以将信息复制，打印，或转交给第三方。这一要求被称为隐私。 上述所有的概念和活动，形成了信息安全管理的基础。为了确保这些活动达到预期效果，需要进行各种控制。这些控制措施的集合被称为控制环境。 威胁是造成的损失或损害的资产危及信息安全的事件。例如，飓风是一种威胁。 是系统弱点。例如，没有飓风型基础设施的脆弱性。 安全控制是确保任何时候信息安全一个指定的活动。确保信息安全就是维护信息资产CIA。 在宏观水平，包括三种类型的控制： 管理控制 管理控制的特点是陈述管理及其特定主题的意见。信息安全政策是一种管理控制策略，管理层提供了自己的看法，以及对安全的支持和指导。 行政控制 政策是一个高层次的文件，显示了管理层的意图，行政管制被用来执行这些政策。程序，指引和标准支持政策的行政管制