2021年2月12日:
人是最脆弱,也是做重要的。
人员安全策略
1.职责分离:防止个人具备破坏、颠覆整个系统的可能,防止串通。
2.工作职责:最小特权原则
3.岗位轮换:知识备份,降低欺诈、数据更改的风险
雇佣协议:保密协议、定期审查、强制休假
入职培训:尽快熟悉组织安全规则
离职程序:安全/人力部门配合,私下和尊重的态度。离职面谈。停用访问权限
.
供应商、顾问、承包商的协议和控制:SLA文档,规定服务水平,一定要有赔偿措施。
合规策略:
隐私策略
安全治理:是公司治理和IT治理的交集
1.目标:维护业务流程、努力实现业务增长和弹性
2.外包业务:保安、维护、技术支持、会计
3.验证合规性
4.文件交换和审查
风险管理:
安全的目标是防止数据丢失泄露、保护已授权的访问
风险管理的目标,将风险降至可接受的水平
资产、资产估值、威胁(Theat)、脆弱性(Vulnerability)、暴露(Exposure)、风险(Risk)、防护措施(Safeguard)、***(Attack)、破坏(Breach)
风险是概率,风险=威胁*脆弱性
定量风险刚分析:
1.分配资产价值 AV
2.计算暴露因子EF
3.计算单一损失期望SLE,SLE=AVEF
4.评估年度发生概率ARO
5.计算年度损失期望ALE,ALE=SLEARO
6.防护成本/效益分析
定性分析:名义损失等
风险响应:
1.风险缓解Risk Mitigation
2.风险转移Risk Assignment
3.风险接受Risk Acceptance
4.风险威慑Risk Deterrence
5.风险规避Risk Avoidance
6.风险拒绝Risk Rejection
总风险=威胁脆弱性资产价值
残余风险=总风险=控制间隙
控制措施:技术性、管理型、物理性
控制类型:威慑控制、预防控制、检测、补偿、纠正、恢复、指示
安全控制评估:SCA Security Control Assessment,确保安全机制有效性
监视和测量:
资产估值和报告:防护措施年度成本不应超过资产的年度损失期望
持续改进
风险框架:NIST
1.安全分裂
2.选择安全控制
3.实施安全控制
4.评估安全控制
5.授权信息系统
6.监视安全控制
实施安全培训的前提:建立安全意识
管理安全:
1.安全必须是成本有效的
2.安全必须是可测量的
3.安全机制本身与安全治理过程都会消耗资源。
本人课后作业,20题,做对了18个