本部分内容是这样设计的,首先概述了该域的主要内容,让我们对这个域的知识和意图有个整体性了解。这个概述我是参考了前期发的官方预备课程里面的材料,原文你们可以看公众号里对应的文章;第二部分是参考官方考试大纲列出来的知识点,我顺便补充了一下。部分知识点我标了在AIO或OSG教材中的页码。附录一是我认为有用的图片和一些不错的参考截图;附录二是OSG在该域中相关的考试要点,我觉得总结的挺好,可以作为CHECKLIST使用,特此花了点时间放在本材料后面了。
一、概述
这个域我们研究什么是资产,我们试图保护的是什么,讨论如何真正保护这些资产?如何确定一个基线或最低安全级别?
首先我们需要从资产识别开始,我们不仅需要识别硬件和软件,更要识别数据,这些都是组织的资产。而且数据才是一个组织的核心资产,是我们需要重点保护的对象。所以我们后面讨论的资产往往更多是指数据。
识别好资产后,我们需要对资产进行定量或定向分析,从而确定它的价值,然后我们根据价值对数据进行分类。后续对数据的保护和处置方案也是建立在分类的基础上的。
我们需要确定信息所有者,他负责将资产分到适当的类中,当然也是他来确定数据需要的保护规则,而且他需要对资产负责。我们需要建立一个基线,基线是与分类级别相关联的,它设置了最低级别的安全和保护要求。
我们需要有全生命周期的概念,数据在产生到消亡的全过程中,都需要有相应的安全策略。最终数据不再需要时,我们需要有处置方案。
二、知识点细分:
• 识别与分类信息和资产
i. 个人身份信息
ii. 个人健康信息
iii. 专有数据:如版权、专利
• 确定与维护信息和资产所有权
• 保护隐私
• 确保适当的资产保留 AIO P149 OSG P117
• 确定数据安全控制
> 保护移动设备
>纸质记录
> 保险箱
• 建立信息和资产的处理要求
附录1:相关图片
【图1】
附录2:OSG中域2相关章节的考试要点
域2的各个知识点,在OSG中,就在第5章节中;
域2的考试要点:
• 理解数据分类的重要性。数据所有者负责定义数据分类, 确保系统和数据被正确标记。此外,数据所有者定义保护不同分类的数据的需求, 比如对静态数据和传输中的敏感数据进行加密。数据分类通常在安全策略或数据策略中定义。
• 知道PII和PHI。个人身份信息(PII)是任何可以识别个人的信息。受保护的健康信息(PHI)是指任何与特定个人的健康有关的信息。许多法律、法规都规定保护PII和PHI。
• 知道如何处理敏感信息。敏感信息是指所有类型的机密信息, 正确地管理它们可以帮助防止由于未经授权的披露而失去保密。适当的管理包括标志、处理、存储和破坏敏感信息。组织经常漏掉标记的两个区域是充分保护承载敏感信息的备份介质以及在介质和设备生命周期结束时对其进行净化。
• 理解记录保留。记录保留策略确保在需要数据时, 将数据保存在可用状态, 在不需要数据时将其破坏。许多法律、法规都规定数据要在特定的时间内进行保存, 但是没有正式的规定, 因此组织会在策略中指定保留时间。审计跟踪数据需要保持足够长的时间来重建过去的事件, 但是组织必须确定他们想要调查多久之前的数据。许多组织当前的趋势是通过对电子邮件实施短期保留策略来减少法律责任。
• 知道不同角色之间的区别。数据所有者负责分类、标记和保护数据。系统所有者负责处理数据的系统。业务和任务所有者拥有流程, 并确保系统对组织的价值。数据处理者通常是为组织处理数据的第三方实体。管理员基于数据所有者提供的指导方针授权访问数据。用户在执行工作任务的过程中访问数据。保管者负责日常存储和保护数据。
• 了解7条安全港原则。欧盟数据保护法规定保护隐私数据。第三方同意遵守7条安全港原则,以确保它们遵守欧盟数据保护法。7条原则是通知、选择、向前传输、安全性、数据完整性、访问和执行。
• 了解安全控制基线。安全控制基线提供一份组织可以用作基线的控制清单, 并不是所有的基线适用于所有的组织。然而, 组织可以应用审视和定制技术来选择满足自身需求的基线。
请点击文末右下角“在看”按钮
请分享给需要学习CISSP的朋友
原文始发于微信公众号(CISSP Learning):CISSP备考知识点CHECKLIST---域2:资产安全
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论