信息安全风险管理能力评价认证 证书是现代必不可少的
安全的目标是保护数据和资源的可用性、完整性和机密性
脆弱性是指在可使用的保护措施中缺乏保护措施或缺陷
威胁是指某人或某件事有意或无意地利用脆弱性并导致资产损失的可能性
风险是威胁主体利用脆弱性和相应的潜在损失的可能性
反措施,也称为保护措施或控制措施,可以减轻风险
控制可以是管理控制、技术和物理控制,并可提供威胁、预防、检测、纠正、恢复或补偿保护
补偿是出于经济或商业功能的原因而采取的替代控制
COBIT是允许it治理的控制目标体系结构
ISO/IEC27001是建立、实施、控制和改进信息安全管理体系的标准
ISO/IEC27000系列源自BS7799,是一种国际上关于如何制定和维护安全计划的佳实践
企业架构框架用于为特定的利益相关者开发架构和呈现视图信息
信息安全管理系统isms是一套用于管理ISO/IEC27001中列出的信息资产所面临风险的政策、流程和系统
企业安全架构师是企业结构的一个子集,描述当前和未来的安全流程、系统和子单元,以确保战略一致性
蓝图是将技术集成到业务流程中的功能定义
信息安全风险管理能力评价认证 证书能够增强企业的竞争力
企业架构框架用于构建一个能满足组织需求和业务驱动程序的单个体系结构
Zachman是企业架构框架,sabsa是安全企业架构框架
COSO-IC是一种治理模式,用于防止公司环境中的欺诈
ITIL是一组it服务管理的佳实践
六西格玛用于识别过程中的缺陷并对过程进行改造
CMMI是一个成熟度模型,它使流程能够以标准化的方式逐步改进
企业安全体系结构应与战略调整、业务启动、流程转换和安全有效性相协调
NISTsp800-53分为技术、管理和操作控制类别
民法制度:采用事先写好的指导方针而不是优先,这与普通法中的民法不同
英美法系:由刑法、民法和行政法组成
习惯法体系:主要是对个人行为进行规范,以地域传统和习俗为法律依据。
它常常与本章讨论的其他法律制度混为一谈,而不是一个地区唯一的法律制度
宗教法律制度:法律源于宗教信仰,处理个人宗教责任
混合法律制度:两种或两种以上法律制度的运用
信息安全风险管理能力评价认证 证书能增强企业的竞争力
按照传统意义,数据可分为四类:公开、内部、机密和高度机密。
每种类型的数据都变得越来越敏感,从公开到高度机密,这是信息分类的标准。
企业需要制定信息分类政策,使数据所有者有权定义当前拥有的数据属于何种数据,并根据分类政策制定信息分类保护矩阵。
信息分类保护矩阵类似于excel,有行和列。以上述分类标准为例,企业将数据分为四类。
这四种类型的数据是Excel中的四列。每一行都是数据生命周期,
行和列交叉的单元格是当前数据生命周期阶段该机密数据的数据保护要求。
该excel构成信息分类保护矩阵。信息安全有三个基本特征:可用性、完整性和机密性。
可用性意味着数据可以随时获取和使用,并且由于硬件故障和其他问题而无法读取数据。
完整性是指数据在整个交易过程中不受恶意篡改和未经授权的访问,以确保数据是原始的。
保密性意味着数据在整个过程中都是加密的,不会被窃听,也不会被未经授权的人访问。
数据是安全的。我们通常谈论信息安全保护,它保护数据的三个基本的特征。