職業道德

• （ISC）²職業道德準則
• 組織道德規範：盡職調查

開發，記錄和實施安全策略，標準，程序和指南

• 政策：制訂政策
• 標準：
  • 聯邦資訊處理標準(FIPS 140-2) 是說明重要但非機密使用之IT 產品應符合之加密和相關安全需求的美國政府標準
• 程序：您的任務是編寫一個程序來分析可能包含惡意軟件
• 指南：遵循美國國防部(STIG)伺服器資訊(SMB)

識別、分析並確定業務連續性（BC）要求的優先級

• 制訂並記錄範圍和計劃
• 業務衝擊分析（BIA）
• 確定和評估因災害，事故或緊急情況而導致的關鍵業務運營中斷的潛在影響流程。

貢獻並執行人員安全政策和程序

• 員工篩选招聘
  • 背景調查、信用記錄、犯罪紀錄、藥物測試
• 就業協議政策
  • 制訂報密契約(NDA)
• 到職離職流程
  • 權限、帳戶、密碼：確保最小程度授權
• 供應商、顧問和承包商協議和控制
  • 程式碼及系統弱點可能造成的威脅，需受到控制
• 政策要求規範
  • 安全標準(PCI)
• 隱私政策要求
• 聯邦資訊安全管理法(FISMA)

風險管理概念

• 識別威脅和漏洞：美國國家標準技術研究院(NIST) 發表的800-30資訊安全系統的風險管理
• 風險評估：查找範圍內的所有漏洞和缺陷
• 風險應對：可規避性、可轉移性、可緩解性、可接受性
• 對策選擇：可靠性，可靠性，依賴性
• 控制類型：指令，威懾，預防，補償，偵探，糾正，恢復
• 安全控制：安全控制授權(SCA)
• 監控和測量：
  - 確保監控問題，漏洞和故障
  - 確保記錄指標，記錄修復和恢復所花費的時間
  - 獲取IDS和日誌服務器
  - 進行雙週分析以確定資訊系統故障和模式
• 資產評估：定期自動執行軟件和硬體清單
• 風險報告：風險來源、嚴重性、緊急性，修復方式及復原程度
• 持續改進：六西格瑪(6 Sigma)，記錄流程的指標。找到並銷查瓶頸。
• 風險框架：
  • ISACA
  • ISO 31000
  • ISO 2009
  • NIST RMF