CISSP學習筆記之安全管理基礎

1.安全管理基礎概念
 1.標識組織的所有資訊資產
 2.分析安全風險
 3.定義安全的重要性,隨時有警覺的心
 4.對安全管理有實施的計劃

2. 安全所要具備的要素
 1、CIA
 C 機密性 避免資產被未經過授權的人存取包括授權的和非授權的
 A 可用性 及時而穩定的獲取資源
 I 完整性 避免未經授權的人做修改和經授權的人做未經允許的修改
 
3.IT安全需要
 1.功能面(防火牆的功能就是過濾)
 2.確保功能可以達到(通過Log file也確定是否正確)
 3.首先定義安全策略()

4.安全考量
 1.技術面
 2.組織架構
 3.公司文化
 4.管理
 5.業務運營
 6.風險

5.安全政策成功因素
 1.最重要的是高層主管支援
 2.與工作相融合不能有衝突的部分
 3.思考以下部分(業務流程、技術流程呢個、管理流程)
 4.具體的實現(隱私權()、身份管理(對主管進行調查確信可信任)、應用程式、基礎架構、管理)

6.安全問題解決思考
 1.不同的需求都考慮在範圍內
 2.ERP->VPN->CRM(客戶關係管理)->ERP
 3.必須要求一致性

7.實施安全政策
 1.軟硬體配置標準(例如防毒、防火牆)
 2.變更(例如檔案的銷燬,使用者的註冊等等)
 3.基線(最小的安全等級和一致性、例如windows 2003必須打哪些補丁)
 以上三個都有強制性
 4.可有可無的標準(TCSEC和ITSEC規劃等等他們的差別是TCSEC主要是系統、ITSEC加入網路)
 
8.如何做好安全管理
 1.定義角色和責任
  1.一起定義角色和責任(最高層主管、資訊保安專家、owners(擁有者)、管理員、使用者)
  2.僱傭人員事要注意(驗證員工的工作履歷、驗證員工學歷、簽署合約、對高層進行背景調查)
  3.離職慎重處理(有兩種情況第一個是自願離職可以給一定緩衝時間、第二個是公司開除不要留任何緩衝時間)
  4.工作方面的事項(重要的工作專案要分工(避免私下串通)、定期工作輪換(舞弊的安全問題)、強制性休假)
  5.確保公司一定程度的安全(內部和外部的審計、高層做不定期的抽查以及安全措施和改進的地方、滲透測試、安全意識宣傳(讓公司瞭解安全重要)、技能培訓、更深入的培訓(讓他們知道什麼是密碼學))
 
 2. 分級制度
  1.重要性(標識重要資產、等級高的進行保護、增加企業的優勢、保護法律訴訟檔案、根據等級來進行優先恢復減小公司損失)
  2.方向(公務類別、競爭對手有關的類別、公司財務有關的類別)
  3.誰來實施分級(擁有者來進行分級:足夠的知識、要了解法律要求、講求一直性、分級標準定義、加密和解密還有過期性(銷燬程式等))
  4.注意事項(貼上警告標籤、定期嚴查重要的資料例如備份、資料刪除的時候要注意是否被徹底刪除乾淨、遵循適當的刪除策略)
 
 3.風險管理和分析
  1.風險管理目的(找出威脅來源,讓風險做到可以接受的)
  2.風險如何形成(威脅和弱點共同存在)例如公司沒有安裝防火牆就屬於公司的弱點,網路上的黑客就是對公司的威脅,如果黑客利用公司的弱點進行攻擊成功,那麼就有一個風險
  3.風險分析重要性(在企業內部標識風險,及時做好防禦措施、考慮法律法規)
  4.新的威脅的產生(新的技術、文化的改變、新產品的出現)
  5.成功關鍵要素(1.高層主管的支援、2.成立風險評估小組、3.尋找人員加入小組)
  6.公司現有狀況可以做到的程度
  7.風險分析型別(定量(數字化)、定性(情景以高中低來進行劃分))