文档介绍:CISSPAIO(第五版)读书笔记第1、2章多为了解知识点,读者了解即可,出考题几率很小。第三章信息安全与风险管理1、安全管理包括风险管理、信息安全策略、措施、标准、指导原则、基准、信息分类、安全组织和安全教育。2、安全管理的功能包括确定目标、范围、策略、优先级和战略。管理层的职责是为其负责的资源和整个公司提供保护。这些资源的形式包括人力、资本、硬件与信息。3、制订安全计划应该使用自顶向下的方式。启动、支持和指导来自最高管理层,该计划向下到达中级管理层,然后再到普通职员。无论采用何种形式,安全管理者都需要清晰的报告结构、对职责的理解以及测试和监控功能,以便保证不会由于缺少交流而导致计划流产。4、为了实现管理层的安全指标,应当利用:行政管理性控制、技术性控制、物理性控制。5、行政管理性控制包括:开发和发布策略、标准、措施和指导原则;风险管理;人员的筛查;指导安全意识培训;实现变更控制措施。6、技术性控制(也称为逻辑性控制)包括:实现和维护访问控制机制;密码和资源管理;身份标识和身份验证方法;安全设备;基础设施的配置。7、物理性控制包括:控制个人对设施和不同部门的访问;锁定系统;去除不必要的软驱和光驱;保护设施的周边;检测入侵;环境控制。8、安全规划可以分为3个不同的领域:战略规划、战术规划和操作规划。战略规划可能包含以下目标:◆确保风险被正确理解并得到合理解决;◆保证遵守法律法规;◆使整个组织机构的安全责任一体化;◆建立一个成熟的模型,从而实现持续的完善;◆将安全作为一项业务成就,以吸引更多的客户。操作规划示例:◆执行安全风险评估;◆不允许执行降低生产能力的安全变更;◆维护和实现控制;◆长期扫描脆弱性并提供补丁程序;◆跟踪策略遵守情况。9、COBIT分为4个领域:计划与组织、获取与实现、交付与支持、监控与评估。COBIT的组件包括:执行摘要、管理指导原则、架构、控制目标、实现工具集以及审计指导原则。10、COSO是一个企业治理模型,COBIT是一个IT治理模型。COSO更多面向战略层面,COBIT则更为关注操作层面。从IT角度来看,可以将COBIT视为满足许多COSO目标的一种方式。11、COBIT定义IT目标,ITIL则在过程级别上就如何实现这些目标提供需要采取的步骤。虽然ITIL是一个安全组件,但是它更加关注IT部门与其服务的内部部门之间的内部服务级协议。12、失效模式和影响分析(FMEA)是一种确定功能、标识功能失效并通过结构化过程评估失效原因和失效影响的方法。我们既可以认为FMEA能够洞察未来并确定潜在的失效领域,也可以认为它能够发现脆弱性,并且在脆弱性转变为真正的障碍之前采取纠正措施。13、使用FMEA保证风险管理的原因是:随着企业更细化地理解风险,风险管理的详细程度、使用的变量和复杂程度也持续增加。随着人们的风险意识不断增强,这种确定潜在缺陷的系统方式正发挥着越来越大的作用。事实证明,在确定更加复杂的环境和系统中可能发生的失效方面,故障树分析方法更为有用。14、安全策略是高级管理层制定的一个全面声明,它规定安全在组织机构内所扮演的角色。安全策略可以是组织化策略,也可以是针对特定问题的策略或针对系统的策略。15、在组织化安全策略中,管理层规定了应该如何建立安全计划,制定安全计划的目标,分配责任,说明安全的战略和战术价值,并且概述了应该如何执行安全计划。这种策略必须涉及相关法律、规章、责任以及如何遵守这些规定。组织化安全策略为组织机构内部未来的所有安全活动提供了范围和方向,还说明了高级管理层愿意接受多大的风险。16、安全策略重要性的全面总结:◆确定公司认为价值重大的资产;◆为安全团队及其活动提供权力;◆在出现与安全有关的冲突时提供审核参考;◆规定公司的安全目的与目标;◆明确个人责任;◆有助于防止未加以说明的事件;◆定义安全团队的规模及其职能;◆明确事故响应责任;◆确定公司如何处理应当关注的法律、法规和标准。17、安全策略可以分为:规章性策略、建议性策略和指示性策略。规章性策略用在保险机构、卫生保健机构、公共设施和其他政府控制的行业中;建议性策略用在医疗信息处理、金融事务或者机密信息处理中。指示性策略不是一种强制性策略,而是用来指导个人与公司相关的特定问题。18、“适当勤奋”=“去检测”,它是使用最佳实践、公认标准和其他工具来识别风险所采取的步骤。“适当关注”=“去纠正”,它指的是纠正确定威胁,或者将其减轻到可接受的风险级别。19、商业公司的信息敏感级别从高到低:机密、隐私、敏感、公开。20、军事机构的信息敏感级别从高到低:绝密、秘密、机密、敏感但非机密、非机密。21、分类规则必须适用于任何格式的数据,这些格式包括数字、纸张、视频、传真、音频等。22、数据正确分类计划的必要步骤:◆定义分类级别;◆指定确定如何分类数据的准则