CISM（信息安全经理）知识点整理（一）.pdfVIP

CCIISSMM （（信信息息安安全全经经理理））知知识识点点整整理理 （（⼀⼀）） 1、信息安全治理是董事会和⾼级管理层的责 。 三个不同⾓⾊的职责和权利 ： ⾼级管理层 ：审批安全战略。 安全指导委员会或管理层 ：检查安全战略。 安全经理 ：定义、制定安全战略，同时负责安全政策的实施。 2、治理和管理的区别 治理是董事会的责 ；管理是CEO领导下的⾼级管理层的责 。 3、可接受的风险⽔平取决于⾼级管理层的风险偏好⽔平。 风险偏好与风险容忍度挂钩。 风险偏好是管理层认为可接受的风险⽔平，风险容忍度是与可接受的风险⽔平发⽣偏差的可接受⽔平。 容忍度越低，风险偏好越低。 风险容忍度⾼可解决风险评估流程 ⾃⾝的不确定性问题。 将风险降低到可接受的⽔平，⽽不是最低⽔平。需要考虑成本，看性价⽐。 当残余风险⽆法满⾜可接受⽔平时，不⼀定要选择接受风险，更多可转移风险。 当残余风险超过组织可接受风险但在管理层可容忍范围内时，能缓解风险的缓解，或者是转移风险 （⽐如买保险，但是保险不是万能的）。 剩余风险=固有风险-采取措施造成的积极影响 4、战略、政策、标准和准则 战略：表述信息安全计划的⽬标以及达成 ⽬标的计划。 政策 ：强制性，是战略的细化、说明，⽤于组织中确定⽅向，指导⾏动。政策必须反映管理层的意图、期望和指导⽅向。 标准 ：是强制性，是基准指标，必须随着要求和技术的变更⽽变更。 标准设定了允许的程序范围，以确保程序符合政策意图。 准则 ：建议，可选⾏动，⾮必要的，必须包含有助于执⾏程序的信息。 程序 ：程序必须是清晰的，并且包含⽤于完成特定 务的所有必要步骤。程序还必须包含发⽣意外结果时需要采取的步骤。 战略和政策⼀般长期不变。 5、治理框架的最⼤优点是提⾼效率、成本效益⾼，框架是其他⼤公司总结出来的经验。 安全架构融⼊企业架构。 6、新的信息安全项 ⽬应该⽀持信息安全战略。 7、业务案例 业务案例为组织提供了判断是否应将项 ⽬继续下去所需要的信息。必不可少的考虑因素是推动项 ⽬前进的价值主张或成本效益分析。 开发业务案例是获得⾼级管理层承诺的⼀种关键⼯具。它可为组织提供判断是否应该继续执⾏项 ⽬所需的信息。 业务案例可⽤来证明IT和信息安全举措在组织中的价值，并具体论证成本的合理性。 如何说服⾼级管理层启动某项 ⽬或 务是否合理 ：利⽤业务案例。 风险分析是业务案例的⼀部分 ；投⼊多少钱，产出多少钱都是业务案例的⼀部分 ； 只有⽼板⽀持才有钱、有⼈⼒。 8、价值交付 ：性价⽐⾼，投⼊产出⽐⾼；与组织 ⽬标相⼀致。 价值实现是安全战略与业务 ⽬标保持战略⼀致性的结果。 9、合规本⾝也是⼀种风险，投⼊产出⽐不⾼时，可以不合规。 10、衡量⼀个企业安全⽂化是否到位的是 ：最终⽤户在某段时间内举报安全事件的频率。 11、年预期损失 （ALE）、单次预期损失 （SLE） SLE=AV （资产价值）*EF ALE=SLE*ARO （年度发⽣率） 例 ：保险费+ALE+杂费=总费⽤ （TCO） 若保险费为9万元，出事后保险公司就理赔 1万，不划算，那就接受风险 12、KGI、KPI、KRI和CSF KGI ：关键 ⽬标指标，组织所追求的明确 ⽬标 KPI ：关键绩效指标，判断流程的执⾏情况，分阶段和过程性的。 KRI ：关键风险指标，①它要能预测风险事件②它要能反应与基准指标相⽐的偏差③要与建⽴基准指标的⽅法和 ⽬标相⼀致。 CSF，关键成功因素，实现⾼级别⽬标必须完成的⽬标和⾏动。 13、 （信息安全机制）有效绩效衡量指标 ： 检测和报告安全相关事件所花费的时间越多越好。 后来发现未报告事件的数量和频率越少越好。 14、数据所有者承担数据泄露风险。 数据所有者对数据资产分类，制定信息分类政策，为信息资产分配重要性和敏感性，决定其访问控制级别。 数据分类⽅案由资产的业务价值及信息对业务的潜在影响决定，⽽⾮其资产本⾝的价值。 IT职能部门是数据所有者的保管员。 数据保管员负责确保数据受保护和数据的完整性。 15、平衡积分卡 平衡计分卡能够有效让信息安全 ⽬标与业务 ⽬标达成⼀致。 能⼒成熟度模型 （CMMI）更关注流程，反映流程绩效和能⼒。 （三级 ：已定义） 风险评估与分析模型 ：不能解决⼀致性问题，客观描述风险。 16、分布式组织 优势 ：安全管理 ⾃由度⾼ 劣势 ：管理不便 17、⼈的性命⾼于⼀切。 18、 业务记录内容⾄少保存 12个⽉。电⼦邮件的存档有⼀年或三年。