2025年CISA高分考生复习笔记知识要点.doc

TASKSTATEMENTS

评估逻辑访問控制的设计，布署和监控，以保证信息资产的CIA

评估networkinfrastructure的安全性

评估环境控制

评估物理访問控制

评估存储，retrieve，传递和处理机密信息资产的過程和流程

KnowledgeSTATEMENTS

安全的设计，布署和监控的技术

逻辑访問控制

逻辑访問架构（SSO,顾客识别，身份管理）

袭击手段和技术

安全事件响应

挽留過和internet安全设别，协议和技术：SSL,SET,VPN,NAT

IDS,IPS,Firewall的布署，操作，配置和维护

加密算法技术，

PKI

病毒检测工具和控制技术

安全测试和评估工具

环境保护实践和设备

物理安全系统和实践

VoIP

机密信息资产的生命周期保护

手動，無线设备的控制和有关風险。

信息安全管理的重要性

信息安全的目的CIA

信息安全管理的关键要素

IS安全不仅仅是壹种机制，同样反应的是企业的文化。

高层支持

方略和流程

组织

安全意识和交易

监控和合规性

事件处理和响应

信息安全管理角色和职责

ISsecuritysteeringcommittee：不壹样管理层的人员足赤回忆

Eexcutivemanagement：對信息资产保护、公布和维护信息安全方略框架负责

securityadvisorgroup：需要由bussiness人员设计，检查组织的安全计划，想CSO提供安全提议，以及向业务部门沟通安全项目与否符合业务需要

CPO首席隐私官

CISO首席信息安全官

processowner：保证合适的安全措施与机构的方略壹致，并得到维护

informationassetownersanddataowner：

users

externalparties

securityadministrator：staff级别的而為之，提供合适的物理和逻辑安全项目

securityspecialists、advisor

ITdevelopers

ISauditor：独立性assurance

信息资产的目录和分级

信息资产分级将安全与业务目的有效結合起来，減少風险，节省成本

classification应當根据机构规模尽量简化。

data是关键的信息资产，dataclassification应當定义：

owner

accessrights（needtoknow）

levelofaccesstobegranted

决定访問权限和级别的人

谁审批访問需求

安全控制的范围和深度

数据分级应當考虑CIA,尚有隐私和合规等事务。

Systemaccesspermission

物理或逻辑系统访問应當基于壹种書面的NEED-TO-KNOW的基础，這個基础是基于最小授权和职权分离的合法的业务需求。

逻辑安全下的信息技术资产可以分為：networks，platforms，databases和applications

信息owner应當書面授权對信息的访問

對访問的授权状况应當定期检查，检查应當与HR流程結合。

非组织雇员的访問活動同样需要合规性控制

MAC,DAC

MACs强制访問控制：缺省实行，不受顾客或者dataowner的控制

DACs可以由顾客或者dataowner来配置和更改

MAC比较的是信息资源的sensitivity和访問实体的securityclearance安全許可。MACs是严禁性的prohibitive，任何没有例外管理的都要严禁。只有管理员可以更改。

DACs,dataowner决定访問权限，DACs不容許超越MACs。

隐私管理事务，IS审计師的角色

privacy必须從壹開始就要進行关注，执行privacyimpactanalysis

IS审计師為管理成的隐私合规提供合理保证

识别理解合规规定

检查個人数据的管理合规性

验证与否采用恰當的安全措施

检查管理层的隐私方略。

信息安全管理的关键成功因子

管理层對安全培训的有力支持

基于風险的资产识别、風险评估

信息安全和外部parties

對customer，thirdparty等的控制

為防止未授权访問，所有打印的文档必须在站访問

建立DRMdigitalrightsmanagement来限制對文档的复制，打印等

若信息安全管理外包，则有关协议应當定义第三方怎样保证安全规定。

要考虑第三方無法提供服务時的应急处理（replacementserives）

HR安全和thirdparties

通過恰當的jobdescription来贯彻安全责任

入职调查

基于安全角色签订协议，含保密协议等

根据企业安全方略来書面定义雇员协议，第三方的顾客的安全责任

与协