2.1 促進(jìn)人員安全策略

• 職責(zé)分離: 把關(guān)鍵的他匪、重要的和敏感工作任務(wù)分配給若干不同的管理員或高級(jí)執(zhí)行者片择，防止共謀
• 工作職責(zé):最小特權(quán)原則
• 崗位輪換:提供知識(shí)冗余劫狠，減少偽造拴疤、數(shù)據(jù)更改、偷竊独泞、陰謀破壞和信息濫用的風(fēng)險(xiǎn)呐矾，還提供同級(jí)審計(jì)，防止共謀

2.1.1 篩選候選人

篩選方法:
1懦砂、背景調(diào)查
2蜒犯、社交網(wǎng)絡(luò)賬戶復(fù)審

2.1.2雇傭協(xié)議和策略

• 雇傭協(xié)議
• 保密協(xié)議

2.1.3 解雇員工的流程

2.1.4 供應(yīng)商、顧問和承包商控制

• SLA:服務(wù)級(jí)別協(xié)議

2.1.5 合規(guī)性

• 合規(guī)是符合或遵守規(guī)則孕惜、策略愧薛、法規(guī)、標(biāo)準(zhǔn)或要求的行為

2.1.6 隱私

2.2安全治理

• 安全治理是支持衫画、定義和指導(dǎo)組織安全工作相關(guān)的實(shí)踐合集
• 第三方治理: 由法律、法規(guī)瓮栗、行業(yè)標(biāo)準(zhǔn)削罩、合同義務(wù)或許可要求規(guī)定的監(jiān)督

2.3理解和應(yīng)用風(fēng)險(xiǎn)管理概念

2.3.1風(fēng)險(xiǎn)術(shù)語(yǔ)

• 資產(chǎn): 環(huán)境中應(yīng)該加以保護(hù)的任何事物
• 資產(chǎn)估值: 根據(jù)實(shí)際的成本和非貨幣性支出作為資產(chǎn)分配的貨幣價(jià)值
• 威脅:任何可能發(fā)生的、為組織或某些特定資產(chǎn)帶來所不希望的或不想要結(jié)果的事情
• 脆弱性:資產(chǎn)中的弱點(diǎn)或防護(hù)措施/對(duì)策的缺乏被稱為脆弱性
• 暴露:由于威脅而容易造成資產(chǎn)損失费奸，暴露并不意味實(shí)施的威脅實(shí)際發(fā)生弥激，僅僅是指如果存在脆弱性并且威脅可以利用脆弱性
• 風(fēng)險(xiǎn):某種威脅利用脆弱性并導(dǎo)致資產(chǎn)損害的可能性 風(fēng)險(xiǎn) =威脅 * 脆弱性，安全的整體目標(biāo)是消除脆弱性和?長(zhǎng)威脅主體和威脅時(shí)間危機(jī)資金安全愿阐，從而避免風(fēng)險(xiǎn)稱成為現(xiàn)實(shí)
• 防護(hù)措施： 消除脆弱性或?qū)Ω兑环N或多種特定威脅的任何方法
• 攻擊: 發(fā)生安全機(jī)制被威脅主體繞過或阻擾的事情

• 總結(jié)：風(fēng)險(xiǎn)概念之間的關(guān)系

  
  
  image.png

2.3.2 識(shí)別威脅和脆弱性

• IT的威脅不僅限于IT源

2.3.3 風(fēng)險(xiǎn)評(píng)估/分析

• 定量的風(fēng)險(xiǎn)分析
  1： 暴露因子(EF)： 特定資產(chǎn)被已實(shí)施的風(fēng)險(xiǎn)損壞所造成損失的百分比
  2：?jiǎn)我粨p失期望(SLE):特定資產(chǎn)的單個(gè)已實(shí)施風(fēng)險(xiǎn)相關(guān)聯(lián)的成本
  SLE = 資產(chǎn)價(jià)值(AV) * 暴露因子(EF)
  3：年發(fā)生占比（ARO）:特定威脅或風(fēng)險(xiǎn)在一年內(nèi)將會(huì)發(fā)生的預(yù)計(jì)頻率
  4： 年度損失期望（ALE）:對(duì)某種特定資產(chǎn)微服，所有已實(shí)施的威脅每年可能造成的損失成本 ALE = SLE * ARO
  5：計(jì)算使用防護(hù)措施時(shí)的年損失期望
  6： 計(jì)算防護(hù)措施成本 (ALE1 - ALE2 ) - ACS
  ALE1:對(duì)某個(gè)資產(chǎn)與威脅組合不采取對(duì)策的ALE
  ALE2：針對(duì)某個(gè)資產(chǎn)與威脅組合采取對(duì)策的ALE
  ACS：防護(hù)措施的年度成本
• 定性的風(fēng)險(xiǎn)分析
  1：場(chǎng)景，對(duì)單個(gè)主要威脅的書面描述
  2：Delphi技術(shù):簡(jiǎn)單的匿名反饋和響應(yīng)過程

2.3.4 風(fēng)險(xiǎn)分配/接受

• 風(fēng)險(xiǎn)消減: 消除脆弱性或組織威脅的防護(hù)措施的實(shí)施
• 風(fēng)險(xiǎn)轉(zhuǎn)讓:把風(fēng)險(xiǎn)帶來的損失轉(zhuǎn)嫁給另一個(gè)實(shí)體或組織
• 風(fēng)險(xiǎn)接受:統(tǒng)一接受風(fēng)險(xiǎn)發(fā)生所造成的結(jié)果和損失
• 風(fēng)險(xiǎn)拒絕: 否認(rèn)風(fēng)險(xiǎn)存在以及希望風(fēng)險(xiǎn)永遠(yuǎn)不會(huì)發(fā)生
• 總風(fēng)險(xiǎn)計(jì)算公式: 威脅 * 脆弱 * 資產(chǎn)價(jià)值 = 總風(fēng)險(xiǎn)
• 剩余風(fēng)險(xiǎn)計(jì)算公式: 總風(fēng)險(xiǎn) - 控制間隙 = 剩余風(fēng)險(xiǎn)

2.3.5 對(duì)策的選擇和評(píng)估

風(fēng)險(xiǎn)管理范圍內(nèi)選擇對(duì)策主要依賴成本/效益分析

2.3.6 實(shí)施

• 技術(shù)性控制：采用技術(shù)控制風(fēng)險(xiǎn)
• 技術(shù)控制示例: 認(rèn)證缨历、加密以蕴、受限端口、訪問控制列表辛孵、協(xié)議丛肮、防火墻、路由器魄缚、入侵檢測(cè)系統(tǒng)宝与、閥值系統(tǒng)
• 行政管理性控制: 依照組織的安全管理策略和其他安全規(guī)范或需求而定義的策略與過程
• 物理性控制:部署物理屏障焚廊，物理性訪問控制可以防止對(duì)系統(tǒng)或設(shè)施某部分的直接訪問

2.3.7 控制類型

• 威懾：為了阻嚇違反安全策略的情況
• 預(yù)防: 阻止不受歡迎的未授權(quán)活動(dòng)的發(fā)生
• 檢測(cè): 發(fā)現(xiàn)不受歡迎的或未授權(quán)的活動(dòng)
• 補(bǔ)償:向其他現(xiàn)有的訪問控制提供各種選項(xiàng)
• 糾正: 發(fā)現(xiàn)不受歡迎或未授權(quán)的操作后，將系統(tǒng)還原至正常的狀態(tài)
• 恢復(fù):比糾錯(cuò)性訪問控制更高級(jí)习劫，如備份還原咆瘟、系統(tǒng)鏡像、集群
  -指令:指示诽里、限制或控制主體的活動(dòng)袒餐，從而強(qiáng)制或鼓勵(lì)主體遵從安全策略

2.3.8 監(jiān)控和測(cè)量

• 安全控制提空的益處應(yīng)該是可以測(cè)量和度量的

2.3.9 資產(chǎn)評(píng)估

2.3.10 持續(xù)改進(jìn)

• 安全性總在不斷變化

2.3.11 風(fēng)險(xiǎn)框架

• 分類 對(duì)信息系統(tǒng)和基于影響分析做過處理、存儲(chǔ)和傳輸?shù)男畔⑿畔⑦M(jìn)行分類
• 選擇 基于安全分類選擇初始化基線须肆、安全基線
• 實(shí)施 實(shí)施安全控制并描述如何在信息系統(tǒng)和操作環(huán)境中部署操作
• 評(píng)估 使用恰當(dāng)?shù)脑u(píng)估步驟評(píng)估安全系統(tǒng)
• 授權(quán)
• 監(jiān)控 不間斷的監(jiān)控信息系統(tǒng)的安全控制

2.4 建立和管理信息安全教育匿乃、培訓(xùn)和意識(shí)

• 培養(yǎng)安全意識(shí)的目標(biāo)是將安全放在首位并且讓用戶意識(shí)到這點(diǎn)

2.5 管理安全功能

• 安全必須符合成本效益原則
• 安全必須可度量