信息安全治理和风险管理

信息安全治理和风险管理InformationSecurityGovernanceandRiskManagementCISSP第六版培训课件之一关键知识领域A.Understandandalignsecurityfunctiontogoals,missionandobjectivesoftheorganization理解安全功能并将其与机构目标、使命和宗旨相结合B.Understandandapplysecuritygovernance理解并运用安全治理B.1Organizationalprocesses(e.g.,acquisitions,divestitures,governancecommittees)组织过程（如收购、分拆、治理委员会）B.2Securityrolesandresponsibilities安全角色与职责B.3Legislativeandregulatorycompliance法律和监管的合规B.4Privacyrequirementscompliance隐私要求的合规B.5Controlframeworks控制框架B.6Duecare尽职关注B.7Duediligence尽职调查关键知识领域C.Understandandapplyconceptsofconfidentiality,integrityandavailability理解并运用保密性、完整性与可用性的概念D.Developandimplementsecuritypolicy制定并施行安全政策D.1Securitypolicies安全政策D.2Standards/baselines标准/基准D.3Procedures程序D.4Guidelines方针D.5Documentation文件编制E.Managetheinformationlifecycle(e.g.,classification,categorization,andownership)管理信息的生命周期（如分类、归类与所有权）F.Managethird-partygovernance(e.g.,on-siteassessment,documentexchangeandreview,process/policyreview)管理第三方治理（如现场评估、文件交换及审查，过程/政策审查）关键知识领域G.Understandandapplyriskmanagementconcepts理解并运用风险管理的概念G.1Identifythreatsandvulnerabilities身份识别的威胁与漏洞G.2Riskassessment/analysis(qualitative,quantitative,hybrid)风险评估/分析（定性型、定量型、混合型）G.3Riskassignment/acceptance风险分配/接纳G.4Countermeasureselection对策选择G.5Tangibleandintangibleassetvaluation对有形资产和无形资产的评估H.Managepersonnelsecurity管理人员安全H.1Employmentcandidatescreening(e.g.,referencechecks,educationverification)求职者甄选（如证明人核实、教育背景查证）H.2Employmentagreementsandpolicies雇佣协议与政策H.3Employeeterminationprocesses员工解雇流程H.4Vendor,consultantandcontractorcontrols销售方、顾问与承包商控制关键知识领域I.Developandmanagesecurityeducation,trainingandawareness发展并管理安全教育、安全培训与安全意识J.ManagetheSecurityFunction管理安全功能J.1Budget预算J.2Metrics衡量标准J.3Resources资源J.4Developandimplementinformationsecuritystrategies开发并实施信息安全策略J.5Assessthecompletenessandeffectivenessofthesecurityprogram评估安全项目的完整性与有效性目录安全基本原则（FundamentalPrinciplesofSecurity）安全定义（SecurityDefinitions）控制类型（SecurityDefinitions）安全架构（SecurityFrameworks）安全管理（SecurityManagement）风险管理（RiskManagement）风险评估和分析（RiskAssessmentandAnalysis）策略、标准、基线、指南和流程（Policies,Standards,Baselines,Guidelines,andProcedures）信息分级（InformationClassification）责任分层（LayersofResponsibility）安全指导委员会（SecuritySteeringCommittee）安全治理（SecurityGovernance）安全基本原则FundamentalPrinciplesofSecurity保密性（Confidentiality）——确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。完整性（Integrity）——确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。可用性（Availability）——确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。CIA三元组是信息安全的目标，也是基本原则，与之相反的是DAD三元组：DisclosureAlterationDestruction泄漏破坏篡改安全基本原则可用性（Availability）确保授权的用户能够及时、可靠地访问数据和资源完整性（Integrity）保证信息和系统的准确性和可靠性，并禁止对数据的非授权更改保密性（Confidentiality）强制实施了必要的保密级别，防止为经授权的信息披露肩窥（Shouldersurfing）通过穿过别人的肩膀获取未经授权的信息的一种方法社会工程（Socialengineering）通过欺骗他人获取未经授权访问的信息安全基本原则平衡的安全安全目标SecurityObjectives可用性Availability保密性Confidentiality完整性Integrity安全定义SecurityDefinitions威胁因素（Threatagent）威胁（Threat）脆弱性（vulnerability）风险（Risk）资产（Asset）暴露（exposure）安全措施（Safeguard）Givesriseto引起Exploits利用leadsto导致Candamage可以破壶Andcausesan并且引起Canbecountermeasuredbya能够被预防Directlyaffects直接作用到安全定义脆弱性（vulnerability）一种软件、硬件或者过程缺陷。并可以给攻击者提供便利，产生未授权的访问。威胁（threat）任何对信息或系统潜在的威胁风险（risk）威胁因素利用脆弱性所造成的损失的潜在的可能性。暴露（exposure）因威胁因素而遭受损失的一个案例对策（countermeasure,orsafeguard）可以减轻潜在风险的策略或者安全措施威胁threat暴露exposure脆弱性vulnerability对策countermeasure风险risk控制类型SecurityDefinitions控制类型Controltypes：管理控制、技术控制和物理控制控制功能Controlfunctionalities：威慑Deterrent—挫败潜在攻击者。预防Preventive—防止意外事件发生。纠正Corrective—事件发生后修复。恢复Recovery—恢复必要的组件到正常的操作状态。检测Detective—事件发生后识别其行为。补偿Compensating—向原来的控制措施那样提供类似保护要。深度防御Defense-in-depth为使成功渗透和威胁更难实现而采用多种控制措施。安全架构（SecurityFrameworks）SecurityBlueprints安全蓝图COSOITILRISFCOBITISO27000安全框架COSO反舞弊财务报告委员会发起组织委员会（COSO）-成立于1985年，负责主持全美反虚假报告委员会工作，根据研究结果向上市公司及其审计师、证劵交易委员会以及其他监管机构提出建议。COBITCOBIT是由IT治理协会发布的IT治理框架和支持工具集。目前，ISACA正在推出新COBIT5框架的支持模块，使用术语“管理过程”代替了原来的“控制措施”。ITIL信息技术基础设施库（ITIL）第3版包括五本书，涵盖了服务管理的整个生命周期。ISO/IEC27000ISO/IEC27000系列标准提供了整个信息安全管理体系环境下的信息安全管理、风险和控制的最佳实践推荐。ISF信息安全论坛（ISF）-最佳实践标准给出了实践指南和解决方案来处理目前影响业务信息的大范围安全挑战。安全管理（SecurityManagement）信息安全的成败取决于两个因素：技术和管理。技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂。人们常说，三分技术，七分管理，可见管理对信息安全的重要性。信息安全管理（InformationSecurityManagement）作为组织完整的管理体系中一个重要的环节，其主要活动包括：识别信息资产及相关风险，采取恰当的策略和控制措施以消减风险，监督控制措施有效性，提升人员安全意识等。根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。实施所选的安全控制措施。提升人员安全意识。针对检查结果采取应对措施，改进安全状况。依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。信息安全管理模型风险管理（RiskManagement）在信息安全领域，风险（Risk）就是指信息资产遭受到损坏并给企业带来负面影响的潜在可能性。风险管理（RiskManagement）就是识别风险、评估风险、采取措施将风险减少到可接受水平，并维持这个风险水平的过程。风险管理是信息安全管理的核心内容。风险管理相关要素资产（Asset）——对组织具有价值的信息资产，包括计算机硬件、通信设施、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。威胁（Threat）——可能对资产或组织造成损害的某种安全事件发生的潜在原因，需要识别出威胁源（Threstsource）或威胁代理（Threstagent）。弱点（Vulnerability）——也被称作漏洞或脆弱性，及资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。风险（Risk）——特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。可能性（Likelihood）——对威胁发生几率（Probability）或频率（Freqiency）的定性描述。影响（Impact）——后果（Consequence），意外事件发生给组织带来的直接或间接的损失或伤害。安全措施（Safeguard）——控制（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事