前言
本篇文章是CISSP系列的第二篇文章,属于“域一 安全与风险验证” 中的内容,本篇文章会尽可能以简单而又严谨的内容讲解关于实现安全治理的原则与策略,这对我们后面学习理解其他七个域会提供很大的帮助。
文章主体介绍四部分内容,分别是安全管理简单介绍,及安全管理中常见注意点及名词,它们分别是变更管理、数据分类、威胁建模。
安全治理的原则与方法
安全是业务运营事务,是一个组织流程,而不仅是 IT 极客在后台实施的事情。
最能有效处理安全管理计划的一个方法是自上而下。
上层,高级或管理部门负责启动和定义组织的策略。安全策略为组织架构内的各个级别提供指导。
中层管理人员负责将安全策略落实到标准、基线、指导方针和程序。
然后,操作管理人员或安全专业人员必须实现安全管理文档中规定的配置。
最后,用户必须遵守组织内的所有安全策略。
a. 什么是安全管理
安全管理是上层管理人员的责任,在一个公司中,由首席信息安全官CISO领导,有时候CSO即CISO,但是CSO隶属于CISO。
安全管理计划包括如下几个部分:
- 定义安全角色
- 规定如何管理安全
- 由谁负责安全以及如何检验安全的有效性
- 制定安全策略
- 执行风险分析
- 要求对员工进行安全教育
请注意:如果没有高级管理人员批准这个关键过程,即使最好的安全计划也毫无用处。没有高级管理层的批准和承诺,安全策略就不会取得成功。
安全管理中需要用到三种类型的计划:
分别为战略计划、战术计划以及操作计划。
其中,战略计划是长期计划,讨论了长期的目标和远景,一般时长为 5 年。
战术计划讨论的是为实施战略计划中的目标提供更多的细节而制定的中期计划,一般包含:项目计划、收购计划、招聘计划、预算计划、维护计划和系统开发计划。
操计划阐明了如何实现组织的各种目标,包含资源分配、预算需求、人员分配、进度安排和细化和执行恒旭。
b. 变更控制
变更控制或变更管理是安全管理的另一项重要内容。安全环境的变更可能引入漏洞、重叠、 客体丢失和疏忽,进而导致出现新的脆弱性。不过,可通过系统的变更管理来维护安全。这通 常涉及与安全控制和安全机制相关的活动,包括广泛的计划、测试、日志记录、审计和监控。 然后对环境变 进行记录来识别变更发起者,无论变更发起者是客体、主体、程序、通信路径 还是网络本身。
c. 数据分类
数据分类是基于数据的保密性、敏感性或秘密性需求而对其进行保护的主要手段。在设计 和实现安全系统时,以相同的方式处理所有数据是低效的,因为有些数据项比其他数据项需要 更高的安全性。用低级别安全保护所有内容意味着敏感数据很容易被访 。用高级别安全保 所有内容又过于昂贵,并且限制了对未分类的、非关键数据的访问 。数据分类用于确定为保护 数据和控制对数据的访问而分配多少精力、金钱和资源
d. 威胁建模
威胁建模是识别分类和分析潜在威胁的安全过程。威胁建模可当作设计和开发期间 主动措施被执行,也可作为产品部署后中被动措施被执行。这两种情况下,威胁建模过程都识别了潜在危害、发生的可能性、关注的优先级以及消除(或减少)威胁的手段。
916
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
