CISSP 重点知识点总结-2-资产安全
资产安全
第 5 章 资产安全
资产识别和分类
-
信息分级
分级(Classification) 按照敏感度(机密性被破坏),比如confidential, Sensitive,
按照重要性(可用性被破坏损失的impact影响度)
-
分级控制
-
职责分离(判断两个或更多的人必须参与访问敏感信息,防止欺诈行为;定义相关程序)
-
定期审查(审查分类层次、数据和程序等相关内容,确保他们仍然与业务需求保持一致, 数据或应用程序可能还需要重新分类)
-
标记,标识和处理程序
Marking(物理存储介质上做标记)
Labeling(系统里分级标注)
-
控制类别的选择取决于管理组及安全团队对相应类别信息的安全需求
-
对所有敏感的数据和程序进行严格的和粒度的访问控制
-
在存储和传输的同时对数据进行加密
-
审计和监视(确定需要什么级别的审计和多长时间的日志被保留)
-
备份和恢复程序(定义)
-
变更控制程序(定义)
-
物理安全保护(定义)
-
信息流动渠道(哪里敏感数据驻留,它如何在网络上传播)
-
妥善的数据处理程序,如切碎、消磁,等等(定义)
-
-
数据分级程序
- 定义分级级别
- 指定将确定数据分级的标准
- 确定负责数据分类的数据所有者
- 确定负责维护数据及其安全级别的数据保管人
- 指示每个分级级别所需的安全控制或保护机制
- 记录以前的分类问题的任何异常
- 指示可用于将信息的托管转移到不同数据所有者的方法
- 创建一个程序定期审查分类和所有权,将对数据托管的任何更改进行传播
- 显示程序重新分类数据
- 将这些问题整合到安全意识计划中
-
责任的层级
- 高级管理者理解公司愿景、业务目标
- 下一层是职能管理者,其成员了解各自的部门如何工作,个人在公司内扮演什么角色,以及安全如何直接影响他们的部门。
- 下一层是运营经理和员工。这些层更接近公司的实际运作。他们知道详细的技术和程序要求,系统,以及如何使用系统的信息。
- 在这些层的员工了解安全机制集成到系统中,如何配置它们,以及它们如何影响日常生产力。
- 每一层级,都应该输入最好的安全措施,程序和选择的控制,以确保商定的安全级别提供必要的保护
- 注意:高级管理层对组织安全最终责任
-
-
资产分级
-
资产管理与信息安全
-
软件License管理:防止侵权,安全管理员应协助实施控制,并定期检查
-
资产管理是信息安全实施的基础,没有资产管理就无法深入了解信息安全事件。
-
资产管理驱动访问控制建设,如NAC网络访问控制
-
设备生命周期安全管理
需求定义阶段:定义安全需求、安全成本是否合适、是否满足安全架构
获取与实施阶段:验证安全特性、安全配置、安全认证认可、设备入库
运行与维护阶段:配置检查、漏洞评估、变更控制
废止阶段:数据安全、配置库更新
-
-
资产管理的概念
-
库存管理 (Inventory Management): 主要是维护软硬件资产的状态
-
配置管理 (Configuration Management)
配置管理可以基于配置项(CI)建立分类、组件、上下游、父子关系等
基于配置项进行变更控制,监控配置项的状态
配置管理库(CMDB):集中管理所有资产配置信息的库
-
资产管理 (IT Asset Management)
增加了资产的财务视角:成本、价值、合同状态
资产的全生命周期管理:从采购到废止
物理、财务、合同全方位管理
-
-