CISA记第五章.docx

第五章信息资产保护（31%）资产的三个属性CIA（confidentiality、Integrity and availability）机密性、完整性、可用性。目标评价信息资产安全控制措施的设计、实施和监测以及物理访问控制从而保证信息资产的CIA。逻辑访问的设计、实施和监测。评价网络基础设施的安全性，以保证网络所传输信息的机密性、完整性和可用性及授权使用。评价环境控制的设计、实施和监督，以保证信息资产得到了充分的保护。评价物理访问控制。评价存储、检索、传送和处置机密信息资产的过程与程序。知识要点设计、实施和监督信息安全的技术评估威胁与风险敏感性分析隐私影响分析对用户访问授权的系统功能和数据的行为进行识别、鉴定及限制的逻辑访问控制技术。动态口令挑战相应机制菜单限制定义安全轮廓逻辑访问安全结构单点登录用户识别策略身份管理攻击方法和技术黑客身份伪装特洛伊木马拒绝服务垃圾邮件对安全事件的监督与响应事件升级程序紧急事件响应团队网络和internet安全设备、协议和技术SSLSETVPNNAT入侵检测系统和防火墙的配置、实施、运行和维护加密技术AESRSA公钥基础设施PKI的各组成部分CARA数字签名病毒检测工具和控制技术安全测试和评估工具渗透测试脆弱性扫描环境保护实务和设备灭火设备冷却系统漏水传感器物理安全系统和实务生物测定技术访问识别智能卡加密锁身份标识数据敏感性分类方案公开机密隐私敏感数据语音通讯安全Voice over ip存储、检索、传送和处置机密信息资产的过程与程序与使用移动和无线设备相关的控制与风险PDAUSB设备蓝牙设备知识点描述符合组织业务要求的目标：保证存储在计算机系统上的信息完整保护敏感信息的机密性遵守保护个人数据隐私的责任与义务保证信息系统的持续可用性保证符合法律、法规的要求信息安全管理的角色与职责：信息安全委员会（IS）security committee：由不同级别的代表定期开会，讨论制定公司的信息安全方针、策略及程序。正式会议应当确定授权调查范围、会议记录、会后的行动方案。执行经理层：负责对所有信息资产保护，政策框架的发布与维护。安全专家咨询顾问：负责检查组织的安全计划。其组织中的成员不仅来自于信息部门也来自于业务部门。安全顾问应向首席安全官提供一些安全问题的见解以及业务部门进行沟通从而确定安全计划是否符合业务部门的目标。首席隐私官：有公司一位高级官员承担，负责对信息安全策略的说明与强制实施，从而保护员工及客户的隐私信息。首席信息安全官：有一位高级公司官员担任，负责对信息安全策略饿说明与强制实施，从而保证公司的信息资产。他比首席安全官负责的范围更广，首席安全官只负责组织内的物理安全。过程所有者：保证所采用的信息安全措施与组织的政策一致，并对安全控制措施进行维护，。用户：遵守信息安全政策所指定的程序，包括阅读并遵守相关安全政策，保护系统登录ID与口令的安全，用户终端屏幕在不用时需要加以锁定，对可以的违反安全的事件要及时报告，为保护物理安全，采取以下措施：锁门、保护好钥匙、不泄露电子锁密码、对不熟悉的访问者保护警觉。遵守适用的法律与规则遵守隐私保护政策信息安全管理的关键成功因素针对不同的管理层次设计不同的培训内容。普通用户：加强信息安全意识的培训。应用开发人员：技术安全培训。管理人员：了解信息安全管理到底能为组织业务带来多大的贡献。信息安全与外部团体任何外部各方对组织信息处理设施的访问、对信息资产的处理和通讯都应予以控制。在外部各方访问前，组织需要进行风险评估；当组织从外部获得产品和服务时，或组织向外提供产品和服务时，也要进行风险评估，以确定安全影响和控制要求。组织要与外部各方就采取的控制措施达成一致，并在正式的合同中进行明确定义。外部团体可能包括：服务提供商：ISP、网络提供商专业服务团体，网络安全服务、IT运维和支持服务等客户IT设备外包和运行外包方，如IT系统、呼叫中心运营等管理与业务咨询顾问、审计师开发人员和服务交付人员清洁工、餐饮人员及其他外包服务支持人员临时人员、学生实习及其他短期聘用人员可签订必威体育官网网址协议以帮助降低与外部团体相关的风险。识别外部团体相关的风险关于外部方访问的风险识别应考虑：外部团体访问信息处理设施：物理访问，例如进入办公室、机房、档案室；逻辑访问：访问组织数据库，信息系统；组织和外部团体之间的网络连接，例如：固定连接、远程访问；现场访问还是非现场访问；所涉及信息的价值和敏感性，及对业务运行的关键程度；为保护不希望被外部团体访问到得信息所需的控制措施；与处理组织信息有关的外部团体人员；能够识别组织或成员如何被授权访问、如何进行授权验证、多长时间需要在确认；外部团体在存储、处理、传送、共享和交换信息过程中所使用的不同的方法和控制措施；外部团体需要时无法访问，输入或接受不正确的或误导的信息的影