CISSP-OSG-各章节书面实验整理

第1章. 实现安全治理的原则和策略

1. 讨论和描述CIA 三元组。

CIA 三元组是保密性、完整性和可用性的结合。

保密性指用于确保保护数据、对象或资源的隐密性的措施。

完整性是保护数据可靠性和正确性的概念。

可用性指被授权的主体能及时不间断地访问对象。

CIA 三元组这个术语用来表示安全解决方案的三个关键组件。

2. 要求某人对其用户账户的行为负责的要求是什么？

问责制的要求是标识、身份验证、授权和审计。

这些组成部分都需要法律上的支持，才能真正让某入对自己的行为负责。

3. 描述变更控制管理的好处。

变更控制管理的好处包括：防止由于不受控制的变更而导致不必要地降低安全性，记录和跟踪环境、标准化、使所有更改符合安全策略，以及在不需要或意外结果发生时回滚更改的能力。

4. 实施分类计划的七个主要步骤或阶段是什么？

1) 确定管理人员，并定义其职责。

2) 指定信息如何进行分类和标记的评估标准。

3) 对每个资源进行数据分类和增加标签（数据所有者会执行此步骤，监督者应予以审核）。

4) 记录数据分类策略中发现的任何异常，并集成到评估标准中。

5) 选择将应用于每个分类级别的安全控制措施，以提供必要的保护级别。

6) 指定解除资源分类的流程，以及将资源保管权转移给外部实体的流程。

7) 建立一个组织范围的培训程序来指导所有人员使用分类系统。

5. 请说出(ISC)2 为CISSP 定义的六个主要安全角色名称。

这六个安全角色是高级管理者、IT/安全人员、数据所有者、数据托管员、操作员／用户和审计人员。

6. 完整的组织安全策略由哪四个组成部分？其基本目的是什么？

安全策略的四个组成部分是策略、标准／基线、指南和程序。

策略是广泛的安全声明。

标准是硬件和软件安全合规性的定义。

当没有合适的程序时，可使用指南。

程序是以安全方式执行工作任务的详细分步说明。

第2章. 人员安全和风险管理的概念

1.列出6 种用于保证人员安全的不同管理性控制措施。

可能的答案包括工作描述、最小特权原则、职责分离、工作职责、岗位轮换／交叉培训、绩效评估、背景调查、工作活动警告、意识培训、工作培训、离职面谈／解雇、保密协议、非竞争性协议、雇佣协议、隐私声明和可接受的使用策略。

2. 定量风险评估用到的基本计算公式有哪些？

公式如下：

SLE=AV*EF

ARO=#/yr

ALE= SLE * ARO

成本／收益＝（ALEl -ALE2)-ACS

资产价值：AV

暴露因子：EF

单一损失预期：SLE

年度发生率：ARO

年度损失期望：ALE

防护措施的年度成本：ACS

3. 描述在定性风险评估中用于达成匿名共识的过程或技术。

Delphi 技术是用于在小组内达成匿名共识的反馈和响应过程。它的主要目的是获取所有参与者的诚实和一致的反馈。参与者通常集中在一个独立会议室里。对于每个反馈请求，每个参与者都匿名在纸上写下他们的回应。结果被汇总并提交给小组进行评估。不断重复这个过程，直至达成共识。

4. 讨论进行“平衡的风险评估＂的需求。可使用哪些技术？为什么需要这样做？

风险评估通常混合使用定量分析和定性分析。

完全进行定量分析是不可能的，并不是所有的分析元素和内容都可以量化，因为有些是定性的，有些是主观的，有些是无形的。

既然纯粹的定量风险评估是不可能的，因此必须平衡定量分析的结果。在组织最后的风险评估中混合使用定量分析和定性分析的方法称为混合评估或混合分析。

第3章. 业务连续性计划

1. 为什么在业务连续性计划团队中包含法律代表很重要？

许多联邦、州和地方法律或法规要求企业执行BCP 条款。在BCP 团队中包括法律代表。有助于确保始终遵守法律、法规和合同义务。

2. “随机应变”的业务连续性计划有什么问题？

“随机应变”是那些不想投入时间与金钱来恰当建立BCP 的人员的借口。在紧急情况下，如果没有一个可靠的计划来指导应急响应，可能导致非常悲惨的结果。

3. 定量风险评估和定性风险评估有什么区别？

定量风险评估涉及使用数字和公式来做判断。

定性风险评估涉及专业意见而不是数字指标，如情绪波动、投资者／消费者信心和员工稳定性。

4. 业务连续性培训计划应包含哪些关键部分？

BCP 培训计划应包括针对所有员工的计划简报以及针对直接或间接参与的个人的特定培训。

此外，应为每个关键的BCP 角色培训备份人员。

5. 业务连续性计划过程的四个主要步骤是什么？

BCP 过程的四个步骤是：项目范围和计划、业务影响评估、连续性计划以及批准／实施。

第4章. 法律法规和合规

1. 美国和欧盟之间的隐私盾框架协议的主要条款是什么？

美国与欧盟之间的隐私盾框架协议的主要条款如下：