章节介绍
风险管理是重点
前四节是传统安全管理部分
法律不用太深入研究,很难考到
BCP业务持续计划:防止业务中断
信息安全概述
什么是信息?
信息的重要特征:有意义的、有价值的、本质是无形的、需要靠介质来存储的
价值评判依据:假如这个信息没保护好,给我们带来损失大小作为评判依据
信息安全保护最重要的原则:全流程原则
信息安全的基本目标
信息安全的基本目标:保密性、完整性、可用性(CIA)
与之相反的事DAD三元组:泄露D、篡改A、破坏D
完整性的信息内部和外部的一致性解释:
分为内部(IT环境的内部)一致性和外部(IT环境的外部)一致性
举例:在公司打印机管理系统中,各部门的打印机数量之和与系统记录的总数不一样,这是内部一致性的问题。如果有个部门私自买了一台打印机,没有录入系统,这就是外部一致性问题。
完整性的延伸:来源真实性、抗抵赖性
信息安全的本质
不仅仅是保护好CIA,同时还要兼顾效率,学习各方面的基础知识,尽量达成各方面之间的平衡
本质是一个管理问题
什么是信息安全管理?
三分技术、七分管理,需要深入地去理解
信息安全管理模型
PDCA(戴明环)
信息安全工作只有开始没有结束
信息安全治理
什么是安全策略?
安全策略具有层次性(Top-Down)
方针、标准、指南、基线、程序
标准:强制标准与推荐标准
程序又叫流程
安全策略的层次模型
应该制定哪些策略
AUP:可接受的使用策略(如:公司邮件不允许传输个人信息等)
针对合规性的审计框架
COSO(财务内控框架)
举例:上个世纪,美国有一些上市公司的经营者和所有者不一定是一个人(职业经理人),如果经理人的控制措施失效了,把企业搞垮了,这些经营者可以什么责任都不负,让国家和股民承担责任,这个逻辑就很不合理。所以用COSO来防止这种情况出现。
ITIL(IT服务质量提升标准)
质量和安全之间的关系:安全和质量有时可以画约等号
ITIL和安全很相关
COBIT(IT治理的一个框架)
现在的IT标准有一种不断被拔高的趋势,越来越抽象,越来越难落地
COBIT能让IT治理更好地为业务服务:
企业架构(EA)
IT需求的管理工具,发现总结IT需求
两种常见的企业架构如下
ISO27000系列国际安全标准
ISO27001标准:实施过程、审计要求的标准,是信息安全管理系统 (ISMS) 的规范或认证
ISO27002标准:是27001的补充,更精确和详细,由ISO17799改名而来,
风险管理★
风险管理相关要素
风险三要素:资产、威胁、弱点
计算风险大小还要通过“可能性”、“影响”两个判断★
如果风险要分为四要素,则需加上“安全措施”
不考虑安全措施时的风险叫做“固有风险”(全面风险),考虑之后的风险叫做“残留风险”
风险管理的目标
目标:通过安全工作,影响风险三要素,从而降低风险大小
1.减少弱点是主要的安全工作(修补漏洞)
2.如何理解减少资产来降低风险?
经营资产保持增值主要是从贡献的角度来考虑的,而降低资产价值是从安全角度来提的(不要把鸡蛋放在一个篮子里)
举例:在线教育系统里面有十年前的历史记录,几乎没人来查询。如果一直存在系统中,一旦系统被攻破,则造成的损失是巨大的。但如果我们将其从系统中剥离,即时系统被攻破,损失也会小得多。
3.减少威胁如何理解?
起因:有人认为黑客、地震等影响都是客观存在的,无法减少
减少资产暴露其实就是减少威胁的方法
举例1:互联网上有许多黑客,如果一个系统不接入互联网对其影响不大,则将其放置在内网,就是减少威胁的手段
举例2:建站选址时,考虑地震发生率,也算是减少地震威胁的手段
安全没有绝对可言
风险管理最重要的原则:成本效益原则
做好安全和效益的平衡
风险评估很重要
风险评估★
风险评估包括风险分析和风险评价两部分
风险分析是将风险的大小确定下来
风险评价是提出解决风险的建议
(没有统一的说法,做题有时要靠上下文分析)
定量评估和定性评估
定量分析需要具体的金额以及单位,除此是定性分析(高中低)
定量分析不经常使用(除了诸如保险公司这类的企业)
定性分析含有很大的主观色彩,属于社会科学,任何的定性测量分析都有不确定性
单一损失期望计算公式
年度损失期望计算公式
Delphi是背对背小组讨论方式,防止个别权威人士发言影响大家充分发挥自己的意见
(既能防止领导一言堂,也能防止某些人事后诸葛亮)
识别信息资产
资产价值要由拥有者来判断,由业务主管的意见为准
评价信息资产
识别并评估威胁
识别并评估弱点
风险评价前需要确定两个指标
风险影响和风险可能性
风险评估矩阵
定性风险评估的工具