CISSP官方学习指南第7版#第3章

本文最后更新于2017年11月5日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!

=Start=

缘由:

备考CISSP,学习、整理在看《CISSP官方学习指南(第7版)》时的一些知识点,方便以后快速复习。

正文:

参考解答:
第3章 业务连续性计划(Business  Continuity Planning, BCP)

业务连续性计划涉及4个不同的阶段

  1. 项目范围和计划
  2. 业务影响评估
  3. 连续性计划
  4. 批准和实现

项目范围和计划:

  1. 业务组织分析
  2. BCP团队的选择
  3. 资源要求
  4. 法律和法规要求

业务影响评估过程中的5个步骤:

  1. 优先级确定
  2. 风险确定
  3. 可能性评估
  4. 影响评估
  5. 资源优先级划分

连续性计划的子任务:

  1. 策略开发(为业务影响评估和 BCP 开发的连续性计划阶段之间架起了桥梁)
  2. 预备和处理
  3. 计划批准
  4. 计划实现
  5. 培训和教育

BCP文档化:

  1. 连续性计划的目标
  2. 重要性声明
  3. 优先级声明
  4. 组织职责的声明
  5. 紧急程度和实现的声明
  6. 风险评估
  7. 可接受的风险/风险缓解
  8. 重大记录计划
  9. 响应紧急事件的指导原则
  10. 维护
  11. 测试和演习
考试要点:

理解业务连续性计划编制过程的4个步骤。业务连续性计划涉及4个不同的阶段:项目范围和计划、业务影响评估、连续性计划、批准和实现。每个任务都为整体目标服务,从而确保业务在发生紧急事件时不会中断井持续运营。

描述如何执行业务结构分析。在业务结构分析中,负责领导BCP过程的人确定哪些部门和个人会参与业务连续性计划。这种分析被用作BCP团队选择的基础,并且在BCP团队确认后被用于指导BCP开发的后续阶段。

列出业务连续性计划团队的必要成员。BCP团队至少应当包括下列人员:每个运营和支持部门的代表;IT部门的技术专家;具有BCP技能的安全人员;熟悉公司法律、规章、契约责任的法律代表;以及高管代表。其他团队成员取决于组织的结构和特性。

了解业务连续性计划编制者面对的法律和规章要求。业务领导必须尽职,以确保股东的利益在灾难事件发生时得到保护。美国的一些行业还必须服从美国联邦、州|和当地的法规,这些法规要求特殊的BCP规程。很多业务在灾难发生之前和之后都具有客户必须满足的合约义务。

解释业务影响评估过程的步骤。业务影响评估过程的5个步骤包括优先级确定、风险确定、可能性评估、影响评估和资源优先级划分。

描述连续性策略的开发过程。策略开发阶段,BCP团队确定哪些风险要进行缓解在预备和处理阶段,将会对实际缓解风险的机制和规程进行设计。计划必须随后得到高管的批准并且加以实现。人员还必须接受其在BCP过程中所处角色的培训。

解释为组织机构的业务连续性计划进行全部化的重要性。将计划记录下来,以便在灾难发生时为计划的实施提供规程上的书面记录。这避免了”在我脑子里”的综合症,从而确保在紧急事件中有序地实施计划。

参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/3669.html

《CISSP官方学习指南第7版#第3章》上的一个想法

  1. 网络攻击导致的七类隐性成本
    https://www2.deloitte.com/content/dam/Deloitte/cn/Documents/finance/deloitte-cn-cfo-insights-seven-hidden-costs-cyberattack-zh-170403.pdf
    `
    网络攻击可能会对一家公司的各个方面造成影响——产生各类成本,且因事件性质与严重程度的不同其影响也会有所差异。

    大多数情况下,公司对网络攻击的认知通常都来源于其必须对外披露的消息,主要指公司迫于公众或舆论压力,不得不对外披露客户个人身份信息、支付信息以及健康信息泄露的情况。在此过程中,公司会非常被动,客户知会成本、资金损失、信用评估以及可能的法律判决或监管处罚都将成为公众讨论的焦点。

    德勤风险咨询网络安全研究报告显示,网络安全事件影响过程可持续五年,在这个过程中,主要产生 14 类商业影响——七类“显性”成本(包括资金损失、当事人补偿、法律诉讼、监管处罚、增加技术投资等)和七类“隐性”成本。对于已确定的无形成本,报告中采用了各类财务建模技术(参见补充栏:无形损失的相应价值)来进行损失估算。从报告给出的案例来看,通常与数据泄露有关的直接成本远不及隐性成本。实际上,德勤研究结果表明,与数据泄露有关的直接成本所造成的影响还不到总体商业影响的 5%。

    七类隐性成本:
    1. 业务运营中断或破坏
    2. 客户流失,重新获客成本增加
    3. 合同收入及附加价值损失
    4. 品牌受损,商标贬值
    5. 商业信誉受损,融资成本增加
    6. 知识产权受损
    7. 潜在的网络安全保险费用
    `

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注