CISM（信息安全经理）知识点整理（二）.pdfVIP

CCIISSMM （（信信息息安安全全经经理理））知知识识点点整整理理 （（⼆⼆）） 1、暴露、漏洞、后果、威胁与风险 暴露 ： F，是指可能因负⾯事件⽽发⽣损失的量化可能性，⼀般以百分⽐算。 威胁 ：对资产造成伤害的任何事物。 漏洞 ：弱点/脆弱性，指由于设计、实施、操作或内部控制不当⽽导致的弱点。 后果 ：影响，衡量安全事件造成损失的程度。 风险=威胁利⽤漏洞的可能性*后果 影响⼩或⽆影响的风险即使发⽣概率⾼亦不受关注。 信息安全政策的制定应主要基于威胁。 2、风险管理流程 确⽴范围和边界 ；确定信息资产及估值 ；执⾏风险评估 ；确定风险处置或应对措施 ；接受残余风险；沟通风险相关信息并监控风险。 风险处置⽅案有 ：缓解、接受 （尽量避免选择接受风险）、避免 （停⽌或终⽌业务活动）和转移 （外包给第三⽅或买保险，只能转移财产责任，不 转移法律责任）。 3、风险评估 风险评估三阶段 ： ① 风险识别 （资产识别，判别对资产造成损害的任何事物 ；必要步骤 ：确保信息资产清单完整并且已识别每项资产的位置）、 风险识别可从上⽽下，也可从下⽽上，两者各有优势。⾃下⽽上的⽅式员⼯配合度⽐较⾼，⾃上⽽下的⽅式与业务 ⽬标紧密结合。 ②风险分析 （对业务的影响价值决定资产重要程度） 风险分析⽅法 ：德尔菲法 （使⽤专家意见，做问卷调查） ；事件树分析 （⼀种 ⾃底⽽上的模型） ；故障树分析 （⾃上⽽下）。 ③ 风险评价 （使⽤定量定性⽅法）。 在风险被识别、分析和评估之后，安全经理汇总后上报管理层，由管理层决定如何做，安全经理负责执⾏。 如果因为风险超过了组织的风险偏好⽽选择缓解控制措施，那么必须评估缓解⽅案和成本效益。 4、聚合风险和级联风险 聚合风险：多个风险聚合会造成重⼤影响 级联风险：⼀个故障导致⼀连串故障反应，A风险导致B风险 5、任何安全事件都可以归咎于控制失效或缺少控制。 6、定量与定性 定量是⽤钱来衡量，⽐较直观，有历史数据⽀撑，有⼀定主观性。 定性⽆法⽤⾦钱衡量，⽤分数衡量，不太准确。 7、RTO、RPO、SDO和MTO RTO （恢复时间⽬标） ： 所能容忍的业务停⽌服务的最长时间。 它通常被定义为恢复到可接受⽔平的正常运营所需要的时间量。可接受⽔平由服务交付 ⽬标定义。 RTO的确定⽅法是通过执⾏BIA并协同制定BCP。 时间越短，表明系统越重要。 RPO （恢复点 ⽬标） ： 指业务系统所能容忍的数据丢失量。 RPO是根据运营中断时可接受的数据丢失量确定的。它表⽰可接受的恢复数据的最近时间点。 越⼩越好，越短越贵，越短也将要求越多的资源。 有可能因为恢复⼤量数据所需时间太长⽽⽆法实现RTO。 SDO （服务交付 ⽬标） ：事件发⽣后必须恢复的最低服务等级。 MTO （可承受的最长中断时间） ：组织恢复运营的最长时间。 MTO=RTO （恢复系统服务，暂不提供 100%服务）+WRT （⼯作恢复时间，CISSP中的概念） 8、冷站、温站和热站 冷站 ：只提供基本的⽔电煤，⽆⽹线，⽆⼈。 温站 ：除了⽔电煤，还有简陋的硬件设备，⽆⼈。 热战：所有硬件设备都有，成本⾼，有⼈。 建那个取决于成本，由⾼层决策。 9、系统或流程变更可能引⼊新的风险。 变更管理与全⽣命周期捆绑。 任何变更管理都要符合流程。 10、风险管理要在系统开发⽣命周期的全阶段 （或者设计）执⾏。 11、风险分析与业务影响分析的区别 风险分析是⽤于评估风险发⽣的频率和影响程度的流程。 业务影响分析主要关联指标是RPO与RTO，指灾难发⽣后如何评估系统和数据的恢复优秀级，和允许恢复的时间量。 12、 对离岸业务和跨境业务的开展，先进⾏风险评估，以确定法律法规或者其他外包流程是否引⼊新的风险，随后再进⾏对应的风险处置⼿段。 13、四⼤风险 内在风险：不易受控的，内外部底层因素的风险。 系统性风险：因系统相互依存导致的系统崩溃的风险。 残余风险：实施控制对策后仍残余的风险。 运营风险：内外部运营造成的风险。 14、控制措施的区别 预防性控制措施 ：访问控制、验证机制和加密机制、安全意识培训 制⽌性控制措施 （制⽌威胁或降低威胁） ：警告标语、IPS 检测性控制措施 （检测⼊侵/⾮法访问） ：IDS、审计 ⽇志、报警系统 改正性控制措施 （弥补） ：BCP、DRP、事故响应 15、信息安全计划三要素 计划必须贯彻与组织 ⽬标⾼度⼀致并⽀持组织 ⽬标的制定完善的信息安全战略。 计划必须设计周全且得到管理层和利益相关⽅的⽀持与协作。 针对计划设计和实施