这一节非常重要,在后面章节都会遇到,而且考试都或多或少会遇到。
安全控制开发
1.COBIT(信息及相关技术控制目标)
信息及相关技术控制目标(COBIT)是由ISACA(前身为信息系统审计与控制协会)和IT治理研究所(ITGI)开发的治理和管理框架。
这是一种基于五个关键原则的整体方法:
1.满足利益相关者的需求。
2.端到端覆盖企业。
3.应用单一集成框架。
4.启用整体性方法。
5.治理与管理相分离。
治理是一套更高层次的流程,旨在平衡利益相关者的价值主张,而管理是一套实现企业目标的活动。
当今业界使用的大多数安全法规遵从性审计实践都基于COBIT。
2.NIST SP 800-53
NIST负责制定的标准之一被称为特别出版物800-53《联邦信息系统和组织的安全和隐私控制》,其中概述了各机构为符合2002年联邦信息安全管理法案(FISMA)而需要实施的控制措施。
正如商业部门的审计师遵循COBIT的“核对表”方法来评估组织是否遵守以商业为导向的法规一样,政府审计师使用SP 800-53作为他们的“核对表”方法来确保政府机构遵守以政府为导向的法规。
剩余内容请看本人公众号debugeeker, 链接为CISSP考试指南笔记:1.4 安全框架part4