iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 4
0
Security

認證信息系統安全專業人員(CISSP)學習筆記系列 第 4

資訊安全與風險管理(Information Security and Risk Management )

職業道德

  • (ISC)²職業道德準則
  • 組織道德規範:盡職調查

開發,記錄和實施安全策略,標準,程序和指南

  • 政策:制訂政策
  • 標準:
    • 聯邦資訊處理標準(FIPS 140-2) 是說明重要但非機密使用之IT 產品應符合之加密和相關安全需求的美國政府標準
  • 程序:您的任務是編寫一個程序來分析可能包含惡意軟件
  • 指南:遵循美國國防部(STIG)伺服器資訊(SMB)

識別、分析並確定業務連續性(BC)要求的優先級

  • 制訂並記錄範圍和計劃
  • 業務衝擊分析(BIA)
  • 確定和評估因災害,事故或緊急情況而導致的關鍵業務運營中斷的潛在影響流程。

貢獻並執行人員安全政策和程序

  • 員工篩选招聘
    • 背景調查、信用記錄、犯罪紀錄、藥物測試
  • 就業協議政策
    • 制訂報密契約(NDA)
  • 到職離職流程
    • 權限、帳戶、密碼:確保最小程度授權
  • 供應商、顧問和承包商協議和控制
    • 程式碼及系統弱點可能造成的威脅,需受到控制
  • 政策要求規範
    • 安全標準(PCI)
  • 隱私政策要求
  • 聯邦資訊安全管理法(FISMA)

風險管理概念

  • 識別威脅和漏洞:美國國家標準技術研究院(NIST) 發表的800-30資訊安全系統的風險管理
  • 風險評估:查找範圍內的所有漏洞和缺陷
  • 風險應對:可規避性、可轉移性、可緩解性、可接受性
  • 對策選擇:可靠性,可靠性,依賴性
  • 控制類型:指令,威懾,預防,補償,偵探,糾正,恢復
  • 安全控制:安全控制授權(SCA)
  • 監控和測量:
    - 確保監控問題,漏洞和故障
    - 確保記錄指標,記錄修復和恢復所花費的時間
    - 獲取IDS和日誌服務器
    - 進行雙週分析以確定資訊系統故障和模式
  • 資產評估:定期自動執行軟件和硬體清單
  • 風險報告:風險來源、嚴重性、緊急性,修復方式及復原程度
  • 持續改進:六西格瑪(6 Sigma),記錄流程的指標。找到並銷查瓶頸。
  • 風險框架:
    • ISACA
    • ISO 31000
    • ISO 2009
    • NIST RMF

上一篇
資訊安全與風險管理(Information Security and Risk Management )
下一篇
存取控制(Access Control)
系列文
認證信息系統安全專業人員(CISSP)學習筆記30

尚未有邦友留言

立即登入留言