第1章. 实现安全治理的原则和策略
2. 要求某人对其用户账户的行为负责的要求是什么?
这些组成部分都需要法律上的支持,才能真正让某入对自己的行为负责。
变更控制管理的好处包括:防止由于不受控制的变更而导致不必要地降低安全性,记录和跟踪环境、标准化、使所有更改符合安全策略,以及在不需要或意外结果发生时回滚更改的能力。
3) 对每个资源进行数据分类和增加标签(数据所有者会执行此步骤,监督者应予以审核)。
4) 记录数据分类策略中发现的任何异常,并集成到评估标准中。
5) 选择将应用于每个分类级别的安全控制措施,以提供必要的保护级别。
6) 指定解除资源分类的流程,以及将资源保管权转移给外部实体的流程。
7) 建立一个组织范围的培训程序来指导所有人员使用分类系统。
5. 请说出(ISC)2 为CISSP 定义的六个主要安全角色名称。
这六个安全角色是高级管理者、IT/安全人员、数据所有者、数据托管员、操作员/用户和审计人员。
6. 完整的组织安全策略由哪四个组成部分?其基本目的是什么?
第2章. 人员安全和风险管理的概念
可能的答案包括工作描述、最小特权原则、职责分离、工作职责、岗位轮换/交叉培训、绩效评估、背景调查、工作活动警告、意识培训、工作培训、离职面谈/解雇、保密协议、非竞争性协议、雇佣协议、隐私声明和可接受的使用策略。
Delphi 技术是用于在小组内达成匿名共识的反馈和响应过程。它的主要目的是获取所有参与者的诚实和一致的反馈。参与者通常集中在一个独立会议室里。对于每个反馈请求,每个参与者都匿名在纸上写下他们的回应。结果被汇总并提交给小组进行评估。不断重复这个过程,直至达成共识。
4. 讨论进行“平衡的风险评估"的需求。可使用哪些技术?为什么需要这样做?
完全进行定量分析是不可能的,并不是所有的分析元素和内容都可以量化,因为有些是定性的,有些是主观的,有些是无形的。
既然纯粹的定量风险评估是不可能的,因此必须平衡定量分析的结果。在组织最后的风险评估中混合使用定量分析和定性分析的方法称为混合评估或混合分析。
第3章. 业务连续性计划
许多联邦、州和地方法律或法规要求企业执行BCP 条款。在BCP 团队中包括法律代表。有助于确保始终遵守法律、法规和合同义务。
“随机应变”是那些不想投入时间与金钱来恰当建立BCP 的人员的借口。在紧急情况下,如果没有一个可靠的计划来指导应急响应,可能导致非常悲惨的结果。
定性风险评估涉及专业意见而不是数字指标,如情绪波动、投资者/消费者信心和员工稳定性。
BCP 培训计划应包括针对所有员工的计划简报以及针对直接或间接参与的个人的特定培训。
BCP 过程的四个步骤是:项目范围和计划、业务影响评估、连续性计划以及批准/实施。