信息安全治理和风险管理教材.pptVIP

下载本文档

3
0
约1.94万字
约 73页
2019-02-11 发布于天津
举报
版权申诉

信息安全治理和风险管理教材.ppt

1、本文档共73页，可阅读全部内容。
2、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
5、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
6、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
7、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
8、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

信息安全治理和风险管理教材

信息安全治理和风险管理Information Security Governance and Risk Management CISSP第六版培训课件之一关键知识领域 A. Understand and align security function to goals, mission and objectives of the organization 理解安全功能并将其与机构目标、使命和宗旨相结合 B. Understand and apply security governance 理解并运用安全治理 B.1 Organizational processes (e.g., acquisitions, divestitures, governance committees) 组织过程（如收购、分拆、治理委员会） B.2 Security roles and responsibilities 安全角色与职责 B.3 Legislative and regulatory compliance 法律和监管的合规 B.4 Privacy requirements compliance 隐私要求的合规 B.5 Control frameworks 控制框架 B.6 Due care 尽职关注 B.7 Due diligence 尽职调查关键知识领域 C. Understand and apply concepts of confidentiality, integrity and availability 理解并运用保密性、完整性与可用性的概念 D. Develop and implement security policy 制定并施行安全政策 D.1 Security policies 安全政策 D.2 Standards/baselines 标准/基准 D.3 Procedures 程序 D.4 Guidelines 方针 D.5 Documentation 文件编制 E. Manage the information life cycle (e.g., classification, categorization, and ownership) 管理信息的生命周期（如分类、归类与所有权） F. Manage third-party governance (e.g., on-site assessment, document exchange and review, process/policy review) 管理第三方治理（如现场评估、文件交换及审查，过程/政策审查）关键知识领域 G. Understand and apply risk management concepts 理解并运用风险管理的概念 G.1 Identify threats and vulnerabilities 身份识别的威胁与漏洞 G.2 Risk assessment/analysis (qualitative, quantitative, hybrid) 风险评估/分析（定性型、定量型、混合型） G.3 Risk assignment/acceptance 风险分配/接纳 G.4 Countermeasure selection 对策选择 G.5 Tangible and intangible asset valuation 对有形资产和无形资产的评估 H. Manage personnel security 管理人员安全 H.1 Employment candidate screening (e.g., reference checks, education verification) 求职者甄选（如证明人核实、教育背景查证） H.2 Employment agreements and policies 雇佣协议与政策 H.3 Employee termination processes 员工解雇流程 H.4 Vendor, consultant and contractor controls 销售方、顾问与承包商控制关键知识领域 I. Develop and manage security education, training and awareness 发展并管理安全教育、安全培训与安全意识 J. Manage the Security Function 管理安全功能 J.1 Budget 预算 J.2 Metrics 衡量标准 J.3 Resources 资源 J.4 Develop and implement information security strategies 开发并实施信息安全策略 J.5 Assess the