全CISSP知识之安全与风险管理

CISSP知识之安全与风险管理随着全球性信息化的深入发展，信息网络技术已广泛应用到企业商务系统、金融业务系统、政府部门信息系统等，由于Internet具有开放性、国际性和自由性等特点，因此为保护机密信息不受黑客和间谍的入侵及破坏，各系统对网络安全的问题日益重视，在此方面的投资比例亦日趋增大。为此，建立一套统一的标准，培养合格的信息安全专业人员来应付网络安全的需要显得尤为迫切。CISSP正是为了满足此方面的需求发展而来，并在信息系统安全领域发挥了极为重要的作用。CIA三原则举例说明Confidenciality机密性举例说明：现在很多人都把个人信息存放在计算机中，但是你不会想让别人知道你电脑上有啥隐私照片啦，你也不想让别人知道你都给谁打电话啦，或者你不想别人知道你有多少存款拉。Integrity完整性举例说明：银行不希望你偷偷把你的帐户存款增加，你也不希望自己的手机花费被人偷走，当然，你也不希望别人把你的邮箱密码篡改了。Availability可用性举例说明：你开了一个博客，当然不希望别人用DOS攻击，导致你的网站不能访问。什么是安全策略？安全策略是高级管理层（或是选定的董事会和委员会）制定的一个全面声明，它规定安全在组织内所扮演的角色。安全策略可以是组织化策略，也可以是针对特定问题的策略，后者针对系统的策略。在组织化安全策略中，管理层规定了应该如何建立安全计划，制定安全计划的目标，分配责任，说明安全的战略和战术价值，并且概述了应该如何执行安全计划。这种策略必须涉及相关法律、法规、责任以及如何遵守这些规范。组织化安全策略为组织内部未来的所有安全活动提供了范围和方向，还说明了高级管理层愿意接受多大的风险。常见的安全策略有哪些？风险管理策略脆弱性管理策略数据保护策略访问控制策略业务连续性策略日志聚集和审计策略人员安全策略物理安全策略安全应用程序开发策略变更控制策略电子邮件策略事件响应策略安全策略有哪些特性？安全策略具有一些必须理解和实现的重要特征：业务目标应促进策略的制定、实现和执行。该策略不应当去规定业务目标。组织化安全策略应当是一份易于理解的文档，为管理层和所有员工提供参考。应当开发和用于将安全整合到所有业务功能和过程中。应当源于并支持适用于公司的所有法律法规。应当随公司的发展变化（如采用新的商业模式、与其他公司合并或者所有权发生变更）进行审核和修订。组织化安全策略的每次更迭都应当注明日期，并在版本控制下进行。受策略监管的部门和个人必须能够查看适用于他们的策略内容，并且不必阅读整个策略材料就能找到指导和答案。制定策略应以该策略一次性能够使用几年为目的。这将有助于确保策略具有足够的前瞻性，从而能够处理将来的安全环境中可能出现的任何潜在变化。策略表述的专业水平能够强化其重要性以及遵守的必要性。策略中不应包含任何人都无法理解的语言。必须使用清楚的、易于理解和接受的陈述性声明。定期对策略进行审核，并根据自上一次审核和修订以来发生的事故加以改编。Governance、RiskandComplianceGRC注释遵从管控、风险与合规，是在企业的各经营业务之上，以战略为中心，以流程管理为基础，通过绩效管理和风险内控管理措施，对各项经营管理过程进行管理和控制，保障战略和经营目标达成的管理方法和工具的总称。

GRC将企业治理、风险管控及合规遵从合而为一，从上至下