9.1 评估安全框架和指导方针
9.1.1 安全框架(security framework)
- NIST 800s:美国国家标准与技术研究院(NIST) 800系列专注于计算机安全方面的内容
- COBIT 5 :信息和相关技术控制目标(COBIT) 第5版由ISACA创建,包含五项指导原则帮助组织实现IT管理目标。
- ITIL:信息技术基础设施库(ITIL)是一个全面的IT管理结构,在IT战略,设计,转型,运营和持续性服务改进方面有五种核心出版物。
- ISO/IEC 27001:ISO和IEC国际电工技术委员会联手为信息系统管理实践创造了一个标准模型。
9.1.2 安全配置指导
- 国防部提供的安全技术实施指南(STIG):为各种硬件解决方案提供强化指南
- NIST提供国家检查清单程序(NCP):为各种操作系统和应用程序提供核对清单和基准。
- 开放Web应用程序安全项目(OWASP)安全编码备忘单
- 合规Compliance:指确保满足法律,法规,行业规范和标准以及组织标准等要求的做法。
- 分层安全Layered security:包含多种不同防御途径的操作安全实现方法:策略意识–>物理–>周边安全–>网络安全–>主机安全–>应用程序安全–>数据安全
- 纵深防御defense in depth:利用分层安全方法的策略,用于保护系统及其数据的工具、规划用户培训、策略采用、物理防护以及其他更全面的安全策略。
9.2 在操作中结合文档记录
- 安全策略Security policy:定义了如何在特定组织内实现安全性的一种正式声明。由多个单独安全策略组成。
- 标准standard:定义了如何衡量对策的遵从程度。
- 指导方针guideline:如何满足策略标准制定的建议,或最佳实践。
- 程序procedure:详细地逐步指导如何实施策略的各个组成部分,统称为标准操作程序standard operating procedure/SOP
9.2.1 常见安全策略的类型
- 可接受使用策略(acceptable use policy/AUP):人员的行为规范。策略就明确那些组织资产的使用是可接受的,那些是违反策略的行为,
- 隐私策略:定义向其他方泄露或个人信息的标准。
- 审计策略:详细说明组织信息和资源的风险评估和审计方面的要求和参数。
- 密码策略:定义了创建密码复杂度的标准。
- 无线标准策略:定义哪些无线设备可以连接到组织的网络以及如何以安全稳妥方式使用这些设备
- 社交媒体策略:定义组织及员工如何使用社交妈休网络和应用程序。
9.2.2 人事管理personnel management
确保所有组织内部或外部