=Start=
缘由:
备考CISSP,学习、整理在看《CISSP官方学习指南(第7版)》时的一些知识点,方便以后快速复习。
正文:
参考解答:
第2章 人员安全和风险管理概念
本章中覆盖的CISSP考试大纲包含:
安全和风险管理(例如安全、风险、合规性、法律、法规、业务连续性)
H.促进人员安全策略
H.1 筛选候选人(例如背景检测、教育核查)
H.2 雇佣协议和策略
H.3 解雇员工的流程
H.4 供货商、顾问和承包商控制
H.5 合规性
H.6 隐私
I.理解和应用风险管理的概念
I.1 识别威胁和脆弱性
I.2 风险评估/分析(定性、定量、混合)
I.3 风险分配/接受(例如系统授权)
I.4 措施选择
I.5 实施
I.6 控制类型(阻止、检测、纠正等)
I.7 控制评估
I.8 监控和测量
I.9 资产评估
I.10 报告
I.11 持续改进
I.12 风险框架
L.建立和管理信息安全教育、培训和意识
L.1 适合组织需要的水平的安全意识、培训和教育
L.2 定期的内容相关审查
安全评估与测试(设计、执行和分析安全测试)
C.5培训和意识
在CISSP认证考试中,通用知识体系(CBK)的安全和风险管理领域涉及许多安全解决方案的基本元素。其中,安全机制的设计、执行以及管理都是必不可少的基本元素。
安全和风险管理领域的附加元素在如下许多章都有讨论:第1章,”通过原则和策略的安全治理”;第3章,业务连续性计划”;以及第4章,”法律、法规和合规性”。请一定复习这些章,以便能够从一个完整的角度来讨论安全和风险管理领域的相关话题。
由于硬件和软件控制的复杂性和重要性,在整个安全计划编制中,针对员工的安全管理往往会被忽略。本章从确定安全雇佣过程和工作描述到开发员工基础架构,从人的角度探讨了安全性。此外,员工的培训、管理和解雇过程被视为创建安全环境的一个不可或缺的部分。最后,我们将介绍如何评估和管理安全风险。
2.1 促进人员安全策略
在任何安全解决方案中,人都是最薄弱的环节。无论部署怎样的物理或逻辑控制,人总能发现避免受到控制、回避或消除控制以及禁用控制的方法。因此,在为自己所处的环境设计和部署安全解决方案时,要将用户的人性因素考虑进去,这一点非常重要。
在开发安全解决方案的所有阶段,都会产生与人有关的论点、问题和折中方案。这是因为人贯穿了任何解决方案的整个开发、部署和持续管理过程。因此,我们必须评估用户、设计人员、编程人员、开发人员、经理以及实现人员在这个过程中的作用。
雇佣新的职员通常涉及几个明确的步骤:创建工作描述、设置工作分类、筛选候选人、雇佣和培训最适合这项工作的人。如果没有工作描述,就不能形成应该雇佣何种类型人员的统一意见。因此,在定义与即将被雇佣人员有关的安全需求时,创建工作描述是第一步。因为有对人员特殊技能和经验的要求,所以组织应该增加人手。组织内部对任何职位的工作描述,都应该确定相关的安全问题。必须考虑到一些相关事直,例如,是否需要这个职位处理敏感资料或访问分类的信息。实际上,工作描述定义了为了完成工作任务而需要为员工分配的角色。工作描述应该对职位所要求的访问安全网络的类型和范围进行定义。一旦确定了这些问题,为工作描述分配的安全类别就相当标准了。
在构建工作描述方面的重要元素包括职责分离、工作职责和岗位轮换。
- 职责分离——职责分离属于安全概念,是指把关键的、重要的和敏感的工作任务分配给若干不同的管理员或高级执行者。这样做能阻止任何一个人具备破坏或削弱重要安全机制的能力。可以将职责分离视为对管理员的最小特权原则的应用。
- 工作职责——工作职责是要求员工在常规的基础上执行的特定工作任务。根据他们的职责,员工需要访问各种不同的对象、资源和服务。在安全的网络上,用户必须被授予访问与其工作任务有关元素的权限。为了保持最大的安全性,应该按照最小特权原则分配访问权限。最小特权原则规定:在安全环境中,应该授予用户完成工作任务或工作职责所必需的最小访问权限。这条原则的实际应用要求对所有资源和功能进行低级别的粒度访问控制。
- 岗位轮换——岗位轮换是一种简单的方法,组织通过让员工在不同的工作岗位间轮换职位来提高整体安全性。岗位轮换有两个作用。首先,它提供了一种知识冗余类型。当许多员工中的每一位都有能力胜任所要求的若干工作岗位时,如果因为疾病或其他事件导致一位或多位员工在较长的时间内无法工作,那么组织遭受严重停工或生产效率降低的可能性就较小。
2.1.1 筛选候选人
为特定的职位筛选候选人时,是以工作描述中定义的敏感程度和分类级别为基础的。特定职位的敏感程度和分类级别依赖于该职位的员工无意或有意违反安全性所造成的危害程度。因此,筛选员工的全过程应当反映如何满足职位的安全性要求。
对于职位的安全性来说,背景调查和安全检查是证明候选人能够胜任工作、具备工作资格和值得信赖的必要因素。背景调查包括:获得候选人的工作和教育历史记录:检查证明材料:与候选人的同事、邻居和朋友进行会面;向公安局和政府机关调查候选人的拘捕或违法活动记录:通过指纹、驾驶执照和出生证明来认证身份:以及进行面试。此外还可以采用测谎仪、药检、性格测试估等形式。
对于许多组织而言,对申请人进行在线背景调查和社交网络账户复审己经成为一种标准惯例。
如果一个潜在的员工向这些组织的图片分享网站、社交网络档案或公共即时信息服务平台发送不适当的材料,他们就没有那些提供相称材料的求职者更受青睐。当我们以文档、图片或视频的形式记录材料,并发布在网上时,我们的这些行为在公众的视野中就会成为永久不断的。通过查看一个人的网络身份,我们可以很快收集到这个人的态度、智力、忠诚、常识、勤奋、诚实、尊重、坚定性、遵守社会准则以及企业文化等方面的大致情况。
2.1.2 雇佣协议和策略
雇佣新员工时,应该签署雇佣协议。协议文档概略说明了组织的规则和限制、安全策略、可接受的使用和行为准则、详细的工作描述、破坏活动及其后果、要求员工胜任工作所需的时间。其中,很多条目都是独立的文挡。这种情况下,雇佣协议用来确认所雇佣的候选人已经阅读井了解了与他们所期望工作职位相关联的文档。
2.1.3 解雇员工的流程
需要解雇某位员工时,必须解决很多问题。在解雇过程中,安全部门和皿之间的紧密关系对于维护控制和最小化风险是很重要的。对于维护安全环境来说,解雇过程或策略是必要的,即使是面对一位必须离开组织的、心怀不满的员工也同样如此。被解雇员工的反应大相,包括从平静、理解接收到反应强烈乃至破坏性的狂怒。必须设计和实施合理的解雇过程,以便减少不愉快事件的发生。
处理解雇员工事直时,应该采取不公开的和尊重人的方式。然而,这并非意味着不应当采取防范措施。终止合同时应该至少有一位证人在场,证人最好是高层经理和/或安保人员。一旦员工被告知离职,他们应该被立刻护送离开,并且不允许通过任何理由返回办公地点。员工在被解雇离开之前,组织特有的所有身份证件、访问权限或员工安全标志以及门卡、钥匙和出入证都应该被收回。通常,解雇员工的最佳时间是员工轮班结束时。在一周的早期和中期解雇员工可以让这个前雇员有时间去申请失业和/或在周末前开始寻找新的就业机会。同时,换班时解雇员工可以让员工以一种更加自然的方式告别其他员工,这样可以减少压力。
大多数情况下,应该在通知员工被解雇的同时或之前就禁止或删除此员工对系统的访问权限。
2.1.4 供应商、顾问和承包商控制
利用供应商、顾问以及承包商控制来确定这个主要组织外部的不同实体、个人或组织的绩效水平、期望值高低、薪酬水平以及影响程度。通常情况下,在服务级别协议(Service Level Agreement,SLA)的文件或策略中会对这些控制进行明确规定。
2.1.5 合规性
合规是符合或遵守规则、策略、法规、标准或要求的行为。合规性对安全治理来说是一个重要的问题。在人员层面,合规性涉及的是员工个体是否遵守公司策略以及是否按照定义的来执行他们的工作任务。许多组织依靠员工的合规性来保证高质量、一致性、效率和节约成本。如果员工不坚持合规性,组织的利润、市场份额、公认度和声誉可能就会受损。员工需要接受培训,以便知道他们需要做什么;只有这样,如果出现违规或缺乏合规,才可能追究他们的责任。
2.1.6 隐私
隐私是一个难以定义的概念。通常,在很多环境中使用这个术语时并没有进行定量或定性。下面列出了一些对隐私性的可能定义:
•主动防止对个人可确认的信息(也就是与某人或某个组织直接联系的数据点)的未授权访问。
•防止对被视为个人的或秘密的信息进行未授权的访问。
•防止未被同意或知晓的观察、监控或检查行为。
2.2 安全治理
安全治理是与支持、定义和指导组织安全工作相关的实践集合。安全治理经常与企业和IT治理密切相关,并交织在一起。这三种治理议程的目标常常相互关联或者都是相同的。例如,组织治理的一个共同目标是确保组织将继续存在并随着时间的推移成长或扩大。因此,三种治理形式的目标都是维持业务流程,同时努力追求增长和弹性。
2.3 理解和应用风险管理概念
安全性的目的是在维护经过授权的访问时,防止数据的丢失或泄露。可能发生造成数据损坏、毁坏或泄露的事情被称为风险。了解风险管理的概念不仅是CISSP考试的重点,也是建立充分的安全状态、适当的安全治理和应尽关注、应尽职责的法律证明的根本。
因此,管理风险是维护安全环境的一个元素。风险管理是一个详细的过程,包括识别可能造成数据损坏或泄漏的因素,根据数据的价值与对策的成本来评估这些因素,以及为了减轻或降低风险而实现有成本效益的解决方案。风险管理的整个过程被用来制定和实施信息安全策略。这些策略的目标是减少风险和支持组织的使命。
风险管理的主要目的是要将风险降低到一个可以接受的级别。究竟要达到哪一个级别,这主要取决于组织、其资产的价值、预算的多少以及其他许多因素。某个组织认为可接受的风险对于另一个组织来说可能是完全不合理的、过高的风险级别。设计并实现一个完全没有风险的环境是不可能的,但是,显著地减少可能出现的风险还是可能的,而且往往只需付出要很少的努力。
IT基础架构中的风险并不只涉及计算机。事实上,许多风险来自于非计算机。当为组织进行风险评估时,考虑到所有可能存在的风险是十分重要的。如果不能正确地评估和响应所有的风险形式,那么公司的安全性就是脆弱的。需要记住的是,IT安全性(通常被称为逻辑或技术安全性)只针对逻辑或技术攻击提供保护。为了保护IT安全性不遭受物理攻击,就必须建立物理保护措施。
达到风险管理主要目标的过程被称为风险分析。风险分析包括:分析环境中的风险,评估每种风险发生的可能性和造成的损失,评估各种风险对策的成本,以及生成安全措施的成本/效益报告并呈交给上级管理者。除了这些针对风险的活动以外,风险管理还要求对组织内部的所有资产进行估算、评估和分配。如果没有恰当的资产评估,就不可能划分资产的优先级和比较风险可能造成的损失。
2.3.1 风险术语
资产、威胁、脆弱性、暴露、风险和防护措施是相互关联的。威胁利用脆弱性,脆弱性导致暴露。暴露就是风险,风险又被防护措施减轻。防护措施保护被威胁危及安全的资产。
2.3.2 识别威胁和脆弱性
风险管理的一个基本部分就是对威胁进行标识并检查,这涉及创建详尽的组织中认定资产可能存在的所有威胁列表。列表应该包括威胁主体和威胁事件。威胁可能来自任何地方,记住这一点十分重要。对IT的威胁并不只限制在IT源。
2.3.3 风险评估/分析
风险分析主要是上层管理者的事情。上层管理者负责通过定义工作的范围和目标,启动和支持风险分析和评估。执行风险分析的实际过程经常被委派给安全专家或评估团队。然而,所有的风险评估、结果、决策和成果必须得到上层管理者的理解和批准,并作为提供谨慎的适当关注的元素。
所有的IT系统都存在风险。现实中不存在能够完全消除所有风险的方法。但是,上层管理者必须决定哪些风险是可以接受的,哪些风险是不可以接受的。决定哪些风险可以接受时,要求详细的、复杂的资产与风险评估。
一旦完成威胁列表的编制,就必须对每种威胁及相关的风险逐一地进行评估。目前有两种风险评估方法:定量的风险分析和定性的风险分析。定量的风险分析把真实的货币价值分配给损失的资产。定性的风险分析把主观的和无形的价值分配给损失的资产。对于完整的风险分析来说,这两种方法都是必要的。大多数环境中同时使用混合的风险评估方法,以获得他们的安全考虑的平衡观点。
1.定量的风险分析
用定量的方法能推导出具体的概率百分比,这意味着定量的分析方法会创建一个报告,该报告用货币形式表明风险的级别、潜在的损失、对策的成本以及防护措施的成本。理解这个报告相当容易,尤其对于了解电子表格和预算报告的人来说更是如此。定量分析可以被视为对风险进行定量分配的行为,换句话说,就是用货币形式表示每个资产和威胁。然而,纯粹的定量分析是不可能的,不是所有的分析元素和方面都是可以被量化的,这是因为某些元素和方面是定性的、主观的或无形的。
定量风险分析的过程开始于资产估值和威胁标识,下一步则是评估每种风险的可能性和发生频率。然后,使用这些信息,计算各种不同的价值函数,这些函数被用于评估防护措施。
2.定性的风险分析
定性的风险分析更多是根据场景而不是根据计算。这种方式不是为可能发生的损失分配准确的货币值,而是按重将威胁分成等级,从而评估其风险、成本和影响。由于不可能进行纯粹的定量风险评估,因此定量分析的结果平衡是必要的。进行定性的风险分析的过程涉及判断、直觉和经验。
2.3.4 风险分配/接受
风险分析的结果包括:
•所有资产的完整且详细的评估。
•所有威肋和风险、发生概率以及一旦发生的损失范围的详细列表。
•针对特定威胁的并且标识出有效性与ALE的防护措施和对策列表。
•每种防护措施的成本/效益分析。
对于管理层制定出的、有根据的且明智的有关实现防护措施和修改安全策略的决定来说,这些信息至关重要。
一旦完成风险分析,管理层就必须处理每种特定的风险。
•降低风险
•转让风险
•接受风险
•拒绝风险
2.3.5 对策的选择和评估
在风险管理范围内选择对策主要依赖于成本/效益分析结果。
请记住,安全应该被设计用来支持和保障业务任务和功能。因此,对策和防护措施需要根据业务任务的上下文进行评估。
2.3.6 实施
安全控制、对策和防护措施可以通过行政管理性、逻辑/技术性或物理性控制来实现。这三类安全机制应该以纵深防御的方式来实现,以提供最大化利益。
1.技术性访问控制
技术性访问和逻辑访问作为硬件或软件机制,既可以用于管理对资源和系统的访问,也可以提供对这些资源和系统的保护。顾名思义,采用的方式是技术。逻辑性或技术性访问控制的示例包括认证方法(例如用户名、密码、智能卡和生物识别)、加密、受限接口、访问控制列表、协议、防火墙、路由器、入侵检测系统(Intrusion Detection System,IDS)以及阔值级别。
2.行政管理性控制
行政管理性访问控制是依照组织的安全策略和其他规范或需求而定义的策略与过程。它们有时被称为管理控制。这些控制主要关注两个方面:人员与业务经营方式。行政管理性访问控制的示例包括策略、过程、雇佣准则、背景调查、数据分类和标签、安全意识和培训效果、休假记录、报告和回顾、工作监督、人员控制以及测试。
3.物理性控制
作为部署的物理屏障,物理性访问控制可以防止对系统或设施某部分的直接访问。物理性访问控制的示例包括保安、围墙、移动探测器、闭锁的门、密封窗、灯光、线缆保护、笔记本电脑锁、磁条卡、看门狗、摄像机、陷阱以及报警器。
2.3.7 控制的类型
术语”访问控制”指的是一种广泛的控制,可以执行的任务诸如确保只有授权用户可以登录,并防止未授权用户获得资源。访问控制规避了各种各样信息的安全风险。
不论何时,只要有可能,希望防止任何类型的安全问题或事件的发生。当然,一些意想不到的事件总会发生,并不是每次都能阻止。一旦事件发生,你会希望尽快检测到这个事件。如果发现,你会希望做出纠正。
当阅读控制说明时,你会注意到有些举例所列的控制不止出现在一种访问控制类型中。比如,围绕在建筑四周的防护栏(或以周长进行定义的设备)可以成为预防性控制,因为它们从本身物理结构上阻止了进入建筑场地的可能。然而,这也是一种制止性控制,因为对那些企图进入场地的人也起到了制止作用。
1.威慑
部署威慑性访问控制是为了吓阻出现违反安全策略的情况。威慑性和预防性控制比较类似,但是威慑性控制取决于某人的决定并不阻止某个动作。相反,预防性控制实际上阻止一个活动。威慑性访问控制的示例包括策略、安全意识培训、锁、围墙、安全标识、保安、陷阱、安全摄像机。
2.预防
部署预防性访问控制是为了阻止不受欢迎的或未授权活动的发生。预防性访问控制的示例包括围墙、锁、生物识别、陷阱、灯光、警报系统、责任分离、工作轮换、数据分类、渗透测试、访问控制方法、加密、审计、使用安全摄像机或闭路电视、智能卡、回叫、安全策略、安全意识培训、反病毒软件、防火墙和入侵防御系统(IPS)。
3.检测
部署检测性访问控制是为了发现不受欢迎的或未授权的活动。通常,检测性访问控制并不实时进行,而是在活动出现后运行。检测性访问控制的示例包括保安、移动探测器、记录和检查安全摄像机或闭路电视捕获的事件、工作轮换、强制休假、审计跟踪、蜜罐或蜜网、IDS、违规报告、对用户的监管和检查、事故调查。
4.补偿
部署补偿性访问控制是为了向其他现有的访问控制提供各种选项,从而帮助增强和支持安全策略。补偿性访问控制还可以包括一些其他控制,这些控制用于替代必要的或被破坏的控制。例如,一个组织策略可以指示所有的PII必须加密。审查发现,预防性由问控制在数据库中加密所有PII数据,但PII通过网络传输以明文形式发送。可以添加补偿性访问控制来保护传输中的数据。
5.纠正
部署纠正性访问控制是为了在发生不受欢迎的或未授权的操作后,将系统还原至正常的状态。试图纠正发生安全事件造成的任何问题。纠正性访问控制通常较为简单,例如终止恶意行为或重启系统。其中还包括病毒解决方案,可以删除或隔离病毒并具有备份和恢复计划,以确保丢失的数据可以被恢复,活跃的ID可以修复系统环境井停止攻击程序。安全策略被入侵后,访问控制可以用来修复或恢复资源、功能和能力。
6.恢复
恢复性访问控制与纠正性访问控制相比,恢复性访问控制响应访问违规的性能更高级、更复杂。恢复性访问控制的示例包括备份和还原、容错驱动系统、系统镜像、服务器群集、反病毒软件以及虚拟机影像。
7.指令
部署指令性访问控制是为了指示、限制或控制主体的活动,从而强制或鼓励主体遵从安全策略。指令性访问控制的示例包括安全策略需求或标准、张贴通告、疏散路线出口标志、监控、监督、工作任务过程。
2.3.8 监控和测量
安全控制提供的益处应该是可以监测和度量的。如果安全控制提供的益处不可以被量化、评估或比较,那么这种控制实际上并没有提供任何安全性。安全控制应该可以提供本地或内部监控,有时也可能需要外部监控。在做初步的对策选择时,应该考虑到这一问题。
衡量一个对策的有效性并不是在进行绝对的价值度量。许多对策提供了一定程度上的改善而不是具体的关于防止破坏和阻挠攻击的数量。通常来说,要想度量对策的成功或失败,在安全措施执行前后对事件进行监测和记录是十分必要的。只有当知道起始点(正常点或初始风险水平)时,益处才能准确衡量出来。成本/效益公式中有一部分也考虑到了对策的监测与度量。安全控制在一定程度上增强了安全性,但这并不意获得的利益就是划算的。需要明白的是,安全性的显著提高证明了新的对策部署是物有所值的。
2.3.9 资产评估
风险分析的一个重要步骤是评估企业的资产价值。如果资产没有价值可言,那么也就没有必要为其提供保护。风险分析的一个主要目标就是确保部署的安全防护措施是符合成本效益原则的。花费100000美元来保护一项价值只有1000美元的资产是毫无意义的。资产价值直接影响并引导了保障和安全保护的水平。作为一项规则,安全防护措施的年度成本不应超过预期的资产损失年度成本。
2.3.10 持续改进
风险评估可以为高层管理人员提供细致的分析,以帮助其决定哪些风险应该规避,哪些应该被转移,以及哪些应该被接受。其结果就是根据成本效益原则,在预期资产损失成本和应对威胁以及漏洞的安全措施部署成本之间进行比较。风险分析可以识别风险、量化威胁的影响,并有助于安全预算,还有助于将企业的目标和宗旨与安全策略的需求和目标整合在一起。风险分析/风险评估是对
“时间点”的度量。威胁和漏洞在不断变化,因此,风险评估需要定期进行,以确保系统安全性得以持续改进。
安全性总是在不断变化。因此,随着时间的推移,任何己经实现的安全解决方案都需要更新和更改。如果不是由选定的对策提供连续的完善路径,那么应该将其替换为可以为安全性提供灵活改进的对策。
2.3.11 风险框架
风险框架是关于如何评估风险、解决风险和监管风险的指南或诀窍。CISSP考试中所提到的关于风险框架的主要案例由美国国家标准技术研究所IST)在800-37专业出版物中做出了定义(http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-37rl.pdf)。我们鼓励大家阅读整本出版物,以下为该出版物中关于CISSP的一些内容节选。
2.4 建立和管理信息安全教育、培训和意识
安全解决方案的成功实现要求改变用户的行为方式。这些变化主要从改变常规的工作方式一直到遵守安全策略中规定的标准、指南和程序。行为的改变包括部分用户开展一定程度的学习工作。为了开发教育、培训和意识,所有相关项目的知识转移必须清楚地识别和加以程序演示、曝光、协同和实施方案制定。
实际的安全培训的先决条件是意识。培养安全意识的目标是要将安全放到首位并让用户认识到这一点。意识在整个组织机构之间建立了通用的安全理解基线或基础。通过课堂式的练习以及实际的工作环境都能培养出安全意识。许多工具都可以被用于培养安全意识,例如海报、通知、时事通讯文章、屏幕保护程序、T恤衫、经理振奋人心的讲话、告示、演讲、鼠标垫、办公用品、备忘录以及传统的由教师引导的培训课程。
安全意识关注于与安全有关的重要或基础的话题和问题。所有人员应充分认识到他们的安全责任和义务。他们应该接受培训,知道什么该做,什么不该做。
2.5 管理安全功能
为管理安全功能,公司必须采纳恰当且充分的安全治理。实施风险评估以确保安全策略是管理安全功能最显著直接的实例。
安全必须符合成本效益原则。由于公司预算有限,因此必须合理分配其资金。此外,公司预算需要包括专门用于安全管理和处理其他商业任务和流程的费用,而不只是包括员工酬劳、保险费、退休费等。安全性应该足以抵挡对公司的传统或标准威胁,其花费不应该比其需要保护的资产还多。参考前面章节提到的”了解和应用风险管理概念”,如果保护措施的花费比资产价值本身还高,就不是有效的解决方案。
安全必须可度量。可度量的安全意味着安全机制功能的多个方面能提供明确收益,且可以记录和分析一个或多个度量。同性能度量相似,安全度量是与安全特性相关的性能、功能、操作、行动等的测量。当实施对策或防护措施时,安全度量应减少意外事件的发生或探测出更多的尝试。否则,就不能称安全机制提供了预期的效益。测量和评估安全度量的行为是评估安全项目完整性和有效性的实践,应该包括评测常见的安全指导方针和追踪控制的成功案例。追踪和评估安全度量是确保安全治理有效的一部分。然而,需要指出的是,如果选择的安全度量不正确,则会导致重大问题。例如,选择监管或评测安保人员无法控制的事物或选择基于外部驱动的事物。
安全机制本身和安全治理过程都会消耗资源。很明显,安全机制应消耗尽可能少的资源,尽可能低地影响生产率或系统吞吐量。然而,所有硬件、软件对策以及用户需要遵守的各项政策、程序都会造成资源消耗。在选择、部署和协调对策之前和之后意识到井评估资源消耗是安全治理和管理安全功能的重要部分。
安全管理功能包括信息安全策略的开发和执行。CISSP考试及本书的大部分内容关注的都是信息安全策略开发和执行的各个方面。
2.6 本章小结
- 在任何安全解决方案中,人都是最薄弱的环节。无论部署怎样的物理或逻辑控制,人总能发现避免受到控制、回避或消除控制以及禁止控制的方法。因此,在为自己所处的环境设计和部署安全解决方案时,要将用户的因素考虑进去,这一点非常重要。安全的人员雇佣、角色、策略、标准、指导方针、措施、风险管理、意识培训以及管理计划编制等方面都有助于保护资产。使用这些安全结构能够对人为的风险提供某些保护。
- 安全的人员雇佣需要详细的工作描述。工作描述被用于作为选择候选人和根据职位进行正确评估。通过工作描述维持安全性,这包括职责分离、工作职责和岗位轮换。
- 为了保护组织和现在的员工,需要有解雇策略。终止合同的过程应该包括:有证人在场、归还公司的产、禁止访问网络、进行离职面谈以及由人员护送离开公司。
- 第三方治理是可能由法律、法规、行业标准或许可要求规定的监督制度。实际的治理方法可能有所不同,但通常包括外部人员或审计人员。这些审计人员可能会由管理机构指定,也可能是目标机构雇佣的顾问。
- 确定、评估、防止或减少风险的过程被称为风险管理。风险管理的主要目的是要将风险降低到可以接受的级别。究竟要达到哪个级别,主要取决于组织、资产价值、预算多少。尽管设计和部署完全没有风险的环境是不可能的,但是,付出很少的努力显著地减少可能出现的风险还是可能的。风险分析是达到风险管理目标的过程,这个过程包括:分析环境中存在的风险,评估每种风险发生的可能性和造成的损失,评估每个风险的不同对策的成本,以及生成安全措施的成本/效益报告并呈交给上层管理者。
- 安全解决方案的成功实现要求改变用户的行为方式。这些变化主要从改变常规的工作方式一直到遵守安全策略中规定的标准、指导方针和步骤。行为的改变包括部分用户开展一定程度的学习工作。三种被公认的学习层次是:意识、培训和教育。
2.7 考试要点
- 知道隐私如何被放入IT安全领域。知道隐私的多重含义/定义,为什么保护它是非常重要的,以及围绕隐私尤其是在工作环境中的隐私的各种问题。
- 能够讨论安全的第三方治理。第三方治理的监督制度可以根据法律、法规、行业标准或许可要求进行强制执行。
- 能够定义整体的风险管理。风险管理的过程如下:识别可能造成数据损坏或泄漏的因素、根据数据的价值与对策的成本来评估这些因素,以及实现能够减轻或降低风险的有成本效益的解决方案。通过执行风险管理,就能够为降低整体风险奠定基础。
- 理解风险分析及涉及的要素。执行风险分析能够为上层管理者提供详细、必要的依据,从而使其决定哪些风险应当被削弱、哪些风险应当被转移以及哪些风险应当被接受。为了全面评估风险和随后采取恰当的防范措施,就必须分析下列要素:资产、资产估值、威胁、脆弱性、暴露、风险、己发生的风险、防护措施、对策、攻击和突破。
- 知道如何评估威胁。威胁可能有很多来源,包括IT、人和自然界。以团队的形式评估风险以便提供范围最广的视角。通过从各个角度全面地评估风险,就可以减少系统的脆弱性。
- 理解定量的风险分析。定量的风险分析关注硬性指标和百分比。全部使用定量分析是不可能的,因为风险的某些方面是无形的。定量的风险分析过程涉及:资产估值和威胁识别,接着确定威胁发生的潜在频率和损失,结果是防护措施的成本/效益分析。
- 能够解释暴露因子(EF)的概念。暴露因子是定量风险分析的一个元素,表示组织的某种特定资产被己发生的风险损坏后造成损失的百分比。通过计算暴露因子,能够较好地实现风险管理策略。
- 了解单一损失期望(SLE)井知道如何计算。SLE是定量风险分析的一个元素,表示与针对特定资产的单个己发生风险相关联的成本。计算SLE时,可以使用公式:SLE=资产价值(AV)*暴露因子但F)。理解年发生比率(ARO)。ARO是定量风险分析的一个元素,指的是特定威胁或风险在一年内将会发生(也就是成为现实)的预计频率。理解ARO能够进一步计算风险和采取适当的防范措施。
- 了解年度损失期望(ALE)井知道如何计算。ALE是定量风险分析的一个元素,指的是针对某种特定的资产,所有己实施的威胁每年可能造成的损失成本。计算ALE时可以使用公式:ALE=单一损失期望(SLE)*年发生比率(ARO)。
- 了解评估防护措施的公式。除了确定防护措施每年的成本外,还必须计算实现措施后资产的ALE。为此,可以使用下面这个公式:实现防护措施前的ALE-实现防护措施后的ALE-每年的防护措施成本=公司防护措施的价值,即 (ALE1-ALE2)-ACS 。
- 理解定性的风险分析。定性的风险分析更多是根据场景而不是根据计算。这种方式不是为可能发生的损失分配准确的货币价值,而是按程度将威胁分成等级,从而评估其风险、成本和影响。这些分析结果可以帮助那些负责制定风险管理策略的人。
- 理解Delphi技术。Delphi技术只是一个简单的匿名反馈和响应过程,这个过程被用于达成一致意见。达成的一致意见为责任方提供了正确评估风险和实施解决方案的机会。
- 了解处理风险的选项。降低风险或风险缓解是防护措施和对策的实现。风险转让或转移风险是把风险带来的损失成本转移给另一个实体或组织。购买保险就是转让或转移风险的一种常见形式。接受风险是因为管理层对可能采用的防护措施进行了成本/效益分析上的评估,并且确定对策的戚本远远超过风险可能造成的损失的成本,还意味着管理层己经同意接受风险发生所造成的结果和损失。
- 能够解释总风险、剩余风险和控制间隙。总风险指的是在没有实现防护措施的情况下,组织将要面对的风险数量。计算总风险的公式是:威胁*脆弱性*资产价值=总风险。剩余风险是管理层选择接受而不是缓解的风险。总风险和剩余风险之间的差值被称为控制间隙,控制间隙是指通过实现防护措施被减少的风险数量。计算剩余风险的公式是:总风险控制间隙=剩余风险。
- 理解控制类型。“访问控制”这一术语指的是一系列执行以下任务的控制=确保只有授权用户能够登录而未授权用户不能访问资源。控制类型包括预防、测探、校正、警报、恢复、指令和补偿控制。按执行方式控制可分为:行政管理性控制、逻辑性控制或物理性控制。
- 理解雇佣新员工的安全含义。为了制定合适的安全计划,必须具有工作描述、工作分类、工作任务、工作职责、阻止共谋、候选人筛选、背景调查、安全许可、雇佣协议和竞业禁止协议的标准。通过部署这些机制,确保新雇佣的人员意识到要求的安全标准,从而保护组织的资产。
- 能够解释职责分离。职责分离属于安全概念,指的是将关键的、重要的和敏感的工作任务分配给不同的人。通过分离责任这种方式,就可以确保任何人不可能危及系统安全。
- 理解最小特权原则。最小特权原则表明,在安全环境中,用户应该被授予完成要求的工作任务或工作职责所必需的最少访问权限。通过限制用户只能访问完成工作任务所要求的那些资源,就能限制敏感信息的脆弱性。
- 了解岗位轮换和强制性休假。岗位轮换有两个作用:提供了一种知识冗余类型:人员流动可以减少伪造、数据更改、偷窃、阴谋破坏和信息滥用的风险。一到两个星期的强制性休假被用于审计和认证员工的工作任务和权限。这种做法往往比较容易发现滥用、欺诈或疏忽行为。
- 理解供应商控制、顾问控制和承包商控制。利用供应商控制、顾问控制以及承包商控制来确定这个主要组织外部的不同实体、个人或机构的绩效水平、期望值高低、薪酬水平以及影响程度。通常情况下,服务水平协议(SLA)的文件或政策中会对这些控制进行明确规定。
- 能够解释适当的解雇策略。解雇策略定义了解雇员工的过程,应当包括:始终有一位证人在场,禁止员工访问网络,进行离职面谈,护送员工离开办公室,交回安全标志和门卡,返还公司的财产。
- 了解如何实现安全意识培训。在真正的培训开始之前,必须让用户树立主人翁的安全意识。一旦树立了安全意识,培训或教育员工执行工作任务和遵守安全策略就可以开始了。所有的新员工都需要进行培训.这样他们才能够遵守安全策略中规定的所有标准、指导方针和步骤。教育是一项更细致的工作,学用户需要学习比他们完成工作任务实际所需知识多得多的知识。教育往往与用户参加认证考试或寻求职务晋升相关联。
- 理解如何管理安全功能。为了实现管理安全功能,组织必须采取恰当且充分的安全治理。执行风险评估以驱动安全政策的施行是最明显、最直接的安全功能管理例子。同时这也和预算、度量、资源以及信息安全策略以及评估安全系统的完整性及有效性息息相关。
- 了解风险管理框架的6个步骤。风险管理框架的6个步骤分别是:分类、选择、实施、评估、授权和监控。
参考链接:
=END=
《 “CISSP官方学习指南第7版#第2章” 》 有 12 条评论
应对猖獗“内鬼”——美国在防御架构上的努力
http://www.mottoin.com/108728.html
`
ITSA架构——2009年,卡耐基梅隆大学的Jabbour等人提出内部威胁安全架构ITSA(Insider Threat Security Architecture)。该架构定义了安全策略(security policy)和防御机制(defense mechanism)两个概念。其中,安全策略是由系统参数及其取值范围组成的键值对集合,防御机制则是确保系统配置不会被非授权更改以致安全策略失效的一系列控制措施。ITSA架构的基本理念是:任何防御机制必须被完整的集成到被保护的系统中,并具备不可分离性,从而确保防御过程不被中断。
ITSRA框架——ITSA架构将安全架构的关注点从对抗外部攻击转移到了对抗内部攻击,但其最大的问题在于过分强调了各个层的独立安全控制,却忽略了层间的联动关系。2012年,CERT提出了ITSRA框架,通过建立横跨各安全层的安全措施联动来充分保障机构信息安全。ITSRA针对内部威胁防御的基本思路,即:在内部威胁动机产生、行动展开,再到造成破坏的整个时间区间内,应持续收集并综合分析多种类数据,并在最佳时间点上采取积极措施,进行预防、检测和响应。
`
兰德公司对网络空间安全防御的建议
http://www.mottoin.com/108765.html
`
报告提出四个基本策略支持降低网络攻击预期损失的目标,分别如下:
减少曝光(Minimize exposure):从其他人可以访问系统的角度讲,系统是脆弱的,系统中存在的数据可以被获取和破坏。该策略包含两个组成部分:减少系统和外界 的联系,减少访问该系统可获得的信息与计算过程。
解除攻击(Neutralize attacks):防止尽可能多的攻击和尽可能减少这些攻击的影响。这种策略具有双重性,一部分是阻止入侵者获得控制权,另一部分是对获得控制权的入侵行为进行对抗。
增加弹性(Increase resilience)弹性策略与系统恶化情况下继续执行功能的策略有关,通过冗余和系统放弃高级功能实现,倾向于短期内填补缺口。
加快恢复(Accelerate recovery):恢复策略适用于被攻击的系统,而不是系统所支持的功能,可通过维修和替换实现,适用于有关可用性的攻击。
`
思科2018年度安全报告
http://www.freebuf.com/articles/paper/164240.html
思科年度安全报告(2018)
https://xianzhi.aliyun.com/forum/topic/2105
`
定量风险分析的过程开始于「资产估值」和「威胁标识」,下一步则是评估每种风险的可能性和发生频率。然后,使用这些信息,计算各种不同的价值函数,这些函数被用于评估防护措施。
下面列出了定量的风险分析的6个主要步骤或阶段:
(1) 列出资产清单和分配资产价值(Asset Value或AV)。
(2) 研究每项资产,生成每个资产所有可能威胁的列表。针对列出的每个威胁,计算 暴露因子(Exposure Factor,EF) 和 单一损失期望(Single Loss Expectancy,SLE)。
(3) 执行威胁分析,计算每种风险在一年内发生的可能性,也就是 年发生比率(Annualized Rate of Occurrence,ARO)。
(4) 通过计算 年度损失期望(Annualized Lost Expectancy,ALE),得到每个威胁可能的总损失。
(5) 研究每个威胁的对策,然后基于应用的对策,计算ARO和ALE的变化。
(6) 针对每个资产的每个威胁的每个对策执行成本/效益分析。选择对每个威胁最适用的对策。
AV -> EF -> SLE -> ARO -> ALE -> 执行对策的成本/效益分析
SLE = 资产价值(AV) * 暴露因子(EF)
ALE = 单一损失期望(SLE) * 年发生比率(ARO)
`
实战Practice丨基于攻击视角完善信息安全弹性防御体系的思考
https://mp.weixin.qq.com/s/DDfdRVaVvTgQ5ldXqmgQ3g
`
行业现状:基于对信息风险的理解,参照ISO27000标准族,遵循GB20274《信息系统安全保障评估框架》、等级保护标准族及银行业各类信息安全综合规范及监管要求,目前银行业基本建立较完善安全保障体系,夯实安全生产三道防线,其落地在于安全运营能力的增强。体现在从构建纵深安全防御体系、持续改进安全能力建设、风险应急响应常态化、内外部威胁情报使用持续进化,信息安全运营体系具备自我学习,弹性增强及自适应能力。
随着云安全、大数据的发展及银行科技转型加快,安全保障更多作为一种服务为科技及业务赋能,提供更好用户体验。基于攻击链模型优化防御体系(防守),根据钻石模型开展攻击者分析(溯源),综合攻击链及钻石模型开展情报驱动的主动防御(升维防御)。在防御体系进化中,根据组织人财物锚定信息安全防御能力滑动象限(SANS)范围,有所为有所不为,实现成本和回报的适度安全。最后,在安全运营中辅助开展毒性测试以增强组织防御的强韧性以至于自适应升级,保证安全生态体系保持自适应进化。
基于攻击者视角构建纵深弹性自适应网络安全防御生态
1.基于攻击链路径构建纵深防御体系
2.强韧性、异构、自适应能力
3.信息交换,构建安全生态圈
有必要关注的几点
1.知己知彼,百战不殆,梳理好资产
2.具备四个意识,防范创造性失灵
3.信息安主动迎接云、大数据和区块链等新技术
4.稳健原则开展安全运营,开展威胁情报共享
`
剖析安全培训项目走向失败的6大关键原因
http://www.4hou.com/info/industry/13254.html
`
事实上,网络安全事故是一个渐变的过程,是不安全因素在量的积累达到一定程度后,出现的飞跃性质变的表现形式,采取切实有效措施防止量的积累,是不可缺少的重要手段。俗话说:“凡事预则立,不预则废”,维护网络安全环境需要多方面的付出和努力,而这其中,“以人为本”,提高人的安全意识以增强职工岗位安全自觉性是关键。
安全意识和素质的提高,安全培训教育是最有效的途径。通过“鲜活”的安全培训教育,可以切实提高员工安全意识和素质,不断强化员工安全事故的防范意识,真正将“安全第一,预防为主”落实到位,有效控制和减少安全事故,确保企业网络安全。
企业安全意识培训项目存在的6大误区:
1. 安全专业人员习惯向高层管理者传递太多技术信息
2. 公司没有花费足够的时间培训高管了解资产风险
3. 只专注于获取特定人员的支持,而忽略了企业中其他管理层同行
4. 公司没有招募自然领袖(Natural Leaders)
5. 公司没有言明安全意识项目对个人的好处
6. 公司没有合适的计划来对培训效果进行彻底测试
`
SANS新安全培训之一:SEC530可防御的安全架构
https://mp.weixin.qq.com/s/g5wdMxKqnXpjjLF1kXK4NA
`
SANS最近推进了一些新的培训课程,本文主要介绍SEC530:可防御的安全架构。
SEC530:可防御安全架构旨在学员构建和维护一个可防御的安全架构。在移动、云和物联网这个时代,“边界已经不存在”,我们生活在一个新的“去外围化”世界里,“内部”和“外部”的旧界限“或”信任“和”不信任“不再适用。
这种不断变化的格局需要改变思维方式,以及重新利用许多现有设备。在本课程中,学员将学习最新防御安全架构的基础知识。将重点关注如何利用当前的基础设施(和投资),包括交换机,路由器和防火墙。学员将学习如何重新配置这些设备,以更好地面对面临的威胁形势。该课程还将提出有助于构建强大安全基础架构的新技术。
本课程虽然不是一个监控课程,但将与持续性的安全监控相关,确保安全架构不仅支持预防,还提供可以输进SIEM系统的关键日志。
实践实验室将强化课程中的关键点,并提供可操作的技能,学员一旦重返工作岗位就能够利用这些技能。
(一) SEC530.1: Defensible Security Architecture
(二) SEC530.2: Network Security Architecture
(三) SEC530.3: Architecting Application Layer Security
(四) SEC530.4: Data and Application Security Architecture
(五) SEC530.5: Zero Trust Architecture: Addressing the Adversaries Already in Our Networks
(六) SEC530.6: Hands-On Secure the Flag Challenge
`
企业内部安全之员工安全培训二三事
https://www.freebuf.com/articles/neopoints/201341.html
`
一、 强密码与反钓鱼攻击
强密码与验证
识别钓鱼攻击
识别鱼叉式钓鱼或社会工程学攻击
二、 设备与连接
Wi-Fi和蓝牙安全
避免使用U盘
`
开源多云安全合规扫描平台
https://github.com/riskscanner/riskscanner
`
RiskScanner 是开源的多云安全合规扫描平台,通过 Cloud Custodian 的 YAML DSL 定义扫描规则,实现对主流公(私)有云资源的安全合规扫描及使用优化建议。
功能优势
等保 2.0 预检:符合等保 2.0 规范,覆盖安全审计、访问控制、入侵防范、网络架构和管理中心等各项检查;
CIS 合规检查:符合 CIS 规范,检查和实时监控在云上的资源是否符合 CIS 要求;
最佳实践建议:制定合规管控基线,为企业级用户提供最佳实践建议,持续提升合规水平。
`
实录 | 廖威:安全意识培训千人千面
https://mp.weixin.qq.com/s/C8o1OeYF47Wtyan0Ox5mhw
`
1.安全意识培训怎么做;
安全因其专业性强,员工普遍对其了解有限,会存在不够重视或者敬而远之的心态。所以做安全意识培训需优先改变思想,进而改变行为:
改变思想主要为:
* 提升意识:让员工认识到不做安全意识培训的后果;
* 提升意愿:让员工认可安全意识培训的价值;
在改变行为方面:
* 提升认知:让员工学习常见安全基础知识,如防止钓鱼,常见数据安全合规等;
* 应用能力:员工不仅仅知道相关知识,还需要在工作中灵活使用安全知识;
这四者之间是相互关联,相互作用的,而非一个个独立的事情。
安全意识培训需要从员工角度出发,听到看到安全意识低导致的后果,感受学习安全技术带来的收益,并应用到工作生活中。最后通过激励与奖励,固化成为一种习惯。在实际中,听到,看到,感受到,应用到是相互影响的。
* 意识以及意愿:采取宣讲内外部真实案例去提升大家意识,提高大家的意愿;
* 认知以及能力:可以采用安全考核(安全培训,安全认证,安全考试),娱乐竞赛,安全实战入手,让大家感受学习到安全;
* 固化:领导站台认可,对员工安全行为激励以及安全表现好的同学或团队予以奖励入手提升;
2.安全意识培训如何获得领导的支持;
安全意识培训需要自上而下推动,自下而上去执行。没有领导的有力支持,安全意识培训无从谈起。
在之前经验中,我们通过如下维度去提升领导意识,让其大力支持安全意识培训:
意识层:我们邀请了公检法以及外部安全专家对公司高层进行培训,让其听到外界的风险世界以及声音;
意愿层:我们对高层进行了私密的安全实战以及风险展示,让领导感受到低安全意识带来的风险;
备注:在对高层进行私密安全实战前需要提前沟通好,否则大家都懂的 …
在确保领导支持安全意识培训后,剩下的我们可以开始进行安全意识培训的落地操作了,以下是我之前工作的经验以及观点,不一定对,仅供大家参考。
3.安全意识培训做哪些,运营以及经验;
在安全意识培训中,我们分为日常培训以及信息安全月的定期大型安全活动。
4.安全培训闭环以及教育;
针对安全意识不合格的同学,我们先是采用的重运营,后采用轻运营。
重运营:对安全意识较弱的同学进行再教育以及补考。
轻运营:对安全考核不过关以及钓鱼中招,需要立刻进行安全意识推送,第一时间产生钓鱼中招和安全意识的关联,效果最好。
关于安全意识内容推送经验:需要以用户角度思考,而非我们安全人员的角度,我们以为很简单的内容,对于他们是很难理解的。
给确定的答复,不要用应该,慎重等词;
员工对于安全不了解,若出现模糊词汇,员工完全不知道如何去做,所以需要确性词汇。比如:看见非公司域名链接谨慎点击
素材多样化,文,图,视频;
不同的素材传输途径不一样,可以确保在不同的时候,都有不同的学习途径。
内容需要简单:一个手机屏幕;一个抖音短视频;
现在员工时间比较碎片化,尽可能让员工在碎片化时间里学习,所以相关内容尽可能的短简快。
`
中通信息安全培训体系建设
https://mp.weixin.qq.com/s/LklmkgRXydx35D1JcOFewA
`
据数据统计显示,企业信息安全领域的问题依次为密码安全、网络钓鱼、恶意软件……很明显,“人”才是信息安全中最容易被忽视的高风险领域,提高员工的信息安全意识是保护企业信息安全的关键之一。因此,企业进行信息安全培训是必不可少的举措。
通常,企业信息安全培训主要分为三部分:信息安全理念培训、安全技术培训、信息安全意识培训。
1. 信息安全理念培训:
主要针对企业管理层人员。通过分析企业信息安全建设现状、难点、管理体系使之对信息安全的理念、 规律有清晰的认识,便于在企业信息安全决策过程中把握核心要点,有效地推动整个组织的信息安全工作。
2. 安全技术培训:
主要针对IT技术人员,包括开发、运维、测试等。安全编码是最有效地防范应用安全被黑客攻击的手段,安全技术培训是通过讲解一些常见的黑客攻击的手法,分析代码安全,并通过最佳安全实践来规避这些攻击威胁。
3. 信息安全意识培训:
针对企业全体人员。安全意识是人们头脑中建立起来的信息化工作必须安全的观念,通过对信息安全的基本概念、常见的安全威胁以及应具备的安全防护理念等知识的宣贯,使员工在信息化工作中对各种各样的信息处理保持一种戒备和警觉的心理状态。
==
中通信息安全培训依据员工企业生命周期分为三个阶段:员工入职阶段、员工在职阶段、员工离职阶段。
# 员工入职阶段:
将信息安全意识培训纳入新员工培训课程中,每月进行一次,并将安全考核内容纳入新员工考试,培训结束后进行考核,考试不通过者不予转正。
# 员工在职阶段:
针对不同岗位人员进行差异化的信息安全培训,以达到更好的安全培训效果。
(1)高层管理人员
高层的支持是企业信息安全培训顺利开展的前提,信息安全培训毋庸置疑应该是自上而下去推动的。因此,对高层管理人员的意识宣导尤为必要。通过对企业信息安全建设现状、难点、管理体系以及安全演练等风险的输出,传达正确的安全理念,以便高层管理人员去更好的制定安全战略规划。
理论输出:主要通过邀请外部安全专家、公检法人员对公司高层管理人员进行培训,了解外部信息安全大环境。
事件输出:主要通过对内部风险数据的展示:如针对高层人员集中钓鱼演练的结果数据等等
(2)开发人员
针对企业IT开发人员,每季度会组织进行一次安全开发培训,给所有新入职开发人员培训基础安全开发知识,在完成培训后还会进行安全技术培训考试帮助技术人员巩固知识,考试结束后统一公布考试成绩,未通过人员将进行课程重修及补考,直至考试通过才予以转正。
(3)全体人员
年度安全意识培训:中通信息安全部每年会组织全员进行年度信息安全意识培训及考试,通过学习信息安全相关的法律法规、信息安全红线、日常办公信息安全行为规范等内容提高人员信息安全意识,培训后将组织进行相应考核,考核成绩与员工晋升发展、积分体系密切相关。
日常信息安全意识宣贯:除传统意义上的课程培训外,日常会通过信息安全意识漫画、海报、小视频、活动互动等方式增强安全意识氛围,多渠道进行安全意识宣传贯彻。
钓鱼演练:钓鱼演练是信息安全培训环节中很重要的一部分。基于庞大的业务体系,中通内部所面临的信息安全相关的威胁也较多,其中网络钓鱼是其中之一。中通信息安全部每年都会组织进行全面的钓鱼演练,能够让企业员工真切感知信息安全风险的存在,对自己识别安全风险的能力有更清晰的认知,并意识到钓鱼中招的危害。
(4)特定对象
针对不同部门及业务的需求、信息安全问题的反馈数据,中通信息安全部将会针对特定人员/部门进行不同类型的信息安全培训(如某些特定漏洞的分析等)。
# 离职阶段:
员工离职前除必要的员工行为核查以外,还应强化离职员工的信息安全意识教育,包括签署信息安全责任承诺书和宣贯交接过程中的安全注意事项,要让离职员工清楚的认知到,非授权获取公司机密数据及其他违反安全规范的行为,都是公司严令禁止的,一旦发现可疑行为,将会受到稽核调查,甚至上升到法律层面。
`
聊聊新版风险评估的变化
https://www.freebuf.com/articles/342273.html
信息安全风险评估标准迎来重大更新:7大变化须知
https://www.secrss.com/articles/43739
`
资产、脆弱性、威胁、安全措施 => 风险
`
GB/T 20984-2022【现行】
中文名称:信息安全技术 信息安全风险评估方法
https://www.nssi.org.cn/nssi/front/117347120.html
标准号:GB/T 20984-2022
https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=FDA38AB7D08A715C6B6D69DFDEABB2C0