第七章在 CDGA|CDGP 考试中的分值占比较高,主要考核知识概念的熟练程度,主要考点包括:数据安全定义、目标与原则、驱动因素、安全过程 4A+E、安全手段(加密类型、脱敏类型与方法等)、PIC 数据类型、安全法律法规、活动、度量指标等。
以下为基于 DMBOK 梳理的核心常考知识点:
数据安全需求来自:利益相关方。政府法规。特定业务关注点。合法访问需求。合同义务。
业务驱动因素:降低风险和促进业务增长是数据安全活动的主要驱动因素。
目标:
- 启用对企业数据资产的适当访问,并防止不适当的访问。
- 理解并遵守所有有关隐私、 保护和保密的法规和政策。
- 确保所有利益相关方的隐私和保密需求得到执行和审计。
活动:
- 识别数据安全需求。
- 制定数据安全制度。
- 制定数据安全细则。
- 评估当前安全风险。
- 实施控制和规程。
对组织数据分类分级:
- 识别敏感数据资产并分类分级。
- 在企业中查找敏感数据。
- 确定保护每项资产的方法。
- 识别信息与业务流程如何交互。
组织数据安全遵循以下指导原则:
1)协同合作。
2)企业统筹。
3)主动管理。
4)明确责任。
5) 元数据驱动。
6)减少接触以降低风险。
脆弱性:系统中容易遭受攻击的弱点或缺陷,漏洞敞口。威胁:可能对组织采取的潜在进攻行动。 可以是内部或外部。不一定总是恶意。风险:损失的可能性,构成潜在损失的事物或条件。
风险分类:关键风险数据。高风除数据。中等风险数据。
数据安全需求和过程分为:
4A:访问(Access)、审计(Audit)、验证(Authentication)、授权(Authorization)。权限(Entitlement)。
区分:访问:使具有授权的个人能够及时访问系统。作动词用,意味着主动连接到信息系统并使用数据;作名词用,是指此人对数据具有有效的授权。
授权:授予个人访问与其角色相适应的特定数据视图的权限。在获得授权后,访问控制系统在每次用户登录时都会检查授权令牌的有效性。权限:由单个访问授权决策向用户公开的所有数据元素的总和。
工具:杀毒软件/安全软件。HTTPS。身份管理技术。入侵侦测和入侵防御软件。防火墙(防御)。 元数据跟踪。数据脱敏/加密。
方法:应用 CURD 矩阵(CURDE-创建、读取、更新、删除、执行)。即时安全补丁部署。元数据中的数据安全属性。项目需求中的安全要求。加密数据的高效搜索。文件清理。
完美的数据安全几乎不可能,但避免数据安全漏洞的最佳方法是建立安全需求、制度和操作规程的意识。
组织可通过以下方式提高合规性:1)培训。此类培训和测试应是强制性的,同时是员工绩效评估的前提条件。2)制度的一致性。为工作组和各部门制定数据安全制度和法规遵从制度,以健全企业制度为目标。3)衡量安全性的收益。组织应在平衡记分卡度量和项目评估中包括数据安全活动的客观指标。4)为供应商设置安全要求。在服务水平协议(SLA)和外包合同义务中包括数据安全要求。SLA 协议必须包括所有数据保护操作。5)增强紧迫感。强调法律、合同和监管要求,以增强数据安全管理的紧迫感。6)持续沟通。
为了促进其合规,制定数据安全措施必须站在那些将使用数据和系统的人的角度考虑。精心规划和全面的技术安全措施应使利益相关方更容易获得安全访问。
任何形式的外包都增加了组织风险,包括失去对技术环境、对组织数据使用方的控制。数据安全措施和流程必须将外包供应商的风险既视为外部风险,又视为内部风险。包括数据安全架构在内的 IT 架构和所有权应该是一项内部职责。换句话说,内部组织拥有并管理企业和安全架构。外包合作伙伴可能负责实现体系架构。
安全架构涉及:1)用于管理数据安全的工具。2)数据加密标准和机制。3)外部供应商和承包商的数据访问指南。4)通过互联网的数据传送协议。5)文档要求。6)远程访问标准。7)安全漏洞事件报告规程。
安全架构对于以下数据的集成尤为重要:1)内部系统和业务部门。2)组织及其外部业务合作伙伴。3)组织和监管机构。
度量指标:安全实施指标。安全意识指标。数据保护指标。安全事件指标。机密数据扩散。
常见的安全实施指标:1)安装了最新安全补丁程序的企业计算机百分比。2)安装并运行最新反恶意软件的计算机百分比。3)成功通过背景调查的新员工百分比。4)在年度安全实践测验中得分超过 80%的员工百分比。5)已完成正式风险评估分析的业务单位的百分比。6)在发生如火灾、地震、风暴、洪水、爆炸或其他灾难时,成功通过灾难恢复测试的业务流程百分比。7)已成功解决审计发现的问题百分比。
安全意识指标:1)风险评估结果。2)风险事件和配置文件。3)正式的反馈调查和访谈。4)事故复盘、经验教训和受害者访谈。5)补丁有效性审计。
数据保护指标:
1)特定数据类型和信息系统的关键性排名。如果无法操作,那么将对企业产生深远影响。
2)与数据丢失、危害或损坏相关的事故、黑客攻击、盗窃或灾难的年损失预期。
3) 特定数据丢失的风险与某些类别的受监管信息以及补救优先级排序相关。
4)数据与特定业务流程的风险映射,与销售点设备相关的风险将包含在金融支付系统的风险预测中。
5)对某些具有价值的数据资源及其传播媒介遭受攻击的可能性进行威胁评估。
6)对可能意外或有意泄露敏感信息的业务流程中的特定部分进行漏洞评估。
安全事件指标:检测并阻止入侵尝试数量。通过防止入侵节省的安全成本投资回报。
577
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
