CISSP备考知识点CHECKLIST---域2:资产安全

admin 2020年2月19日12:41:24评论9 views字数 1941阅读6分28秒阅读模式

    本部分内容是这样设计的,首先概述了该域的主要内容,让我们对这个域的知识和意图有个整体性了解。这个概述我是参考了前期发的官方预备课程里面的材料原文你们可以公众号里对应的文章;第二部分是参考官方考试大纲列出来的知识点,我顺便补充了一下。部分知识我标了在AIOOSG教材中的页码。附录一是我认为有用的图片和一些不错的参考截图;附录二是OSG在该域中相关的考试要点,我觉得总结的挺好,可以作为CHECKLIST使用,特此花了点时间放在本材料后面了。

 

一、概述

这个域我们研究什么是资产,我们试图保护的是什么,讨论如何真正保护这些资产如何确定一个基线或最低安全级别?

首先我们需要资产识别开始我们不仅需要识别硬件和软件,要识别数据这些都是组织的资产。而且数据才是一个组织的核心资产,是我们需要重点保护的对象。所以我们后面讨论的资产往往更多是指数据。

识别好资产后,我们需要对资产进行定量或定向分析,从而确定它的价值,然后我们根据价值数据进行分类后续对数据保护和处置方案也是建立在分类的基础上的。

我们需要确定信息所有者,他负责将资产分到适当的类中,当然也是来确定数据需要的保护规则,而且他需要对资产负责。我们需要建立一个基线,基线是分类级别相关联,它设置了最低级别的安全和保护要求

我们需要有全生命周期的概念,数据在产生到消亡的全过程中,都需要有相应的安全策略。最终数据不再需要时,我们需要有处置方案。

二、知识点细分

识别与分类信息和资产

a) 敏感数据

   i. 个人身份信息

   ii. 个人健康信息

   iii. 专有数据:如版权、专利

b) 数据分级 图1

确定与维护信息和资产所有权  

a) 信息所有者决定信息级别
b) 管理员负责实施和维护

保护隐私

a) 数据所有者
b) 系统所有者
c) 数据残留  要掌握
    i. 清除
    ii. 净化
    iii. 消磁 
    iv. 销毁
d) 数据收集限制  AIO P156

确保适当的资产保留 AIO P149   OSG P117

确定数据安全控制

a) 理解数据状态  静态数据、传输中的数据、使用中的数据
b) 定界与定制
c) 标准选择
d) 数据保护的方法
     i. 介质管理
     ii. DLP
     iii. 保护其他资产

                      > 保护移动设备

                      >纸质记录

                      > 保险箱

建立信息和资产的处理要求

 

附录1相关图片

CISSP备考知识点CHECKLIST---域2:资产安全

【图1】

 

附录2:OSG2相关章节的考试要点

2的各个知识,在OSG中,就在第5章节中;

 

2的考试要点:

理解数据分类的重要性。数据所有者负责定义数据分类, 确保系统和数据被正确标记。此外,数据所有者定义保护不同分类的数据的需求, 比如对静态数据和传输中的敏感数据进行加密。数据分类通常在安全策略或数据策略中定义。

知道PIIPHI。个人身份信息(PII)是任何可以识别个人的信息。受保护的健康信息(PHI)是指任何与特定个人的健康有关的信息。许多法律、法规都规定保护PIIPHI

知道如何处理敏感信息。敏感信息是指所有类型的机密信息, 正确地管理它们可以帮助防止由于未经授权的披露而失去保密。适当的管理包括标志、处理、存储和破坏敏感信息。组织经常漏掉标记的两个区域是充分保护承载敏感信息的备份介质以及在介质和设备生命周期结束时对其进行净化。

理解记录保留。记录保留策略确保在需要数据时, 将数据保存在可用状态, 在不需要数据时将其破坏。许多法律、法规都规定数据要在特定的时间内进行保存, 但是没有正式的规定, 因此组织会在策略中指定保留时间。审计跟踪数据需要保持足够长的时间来重建过去的事件, 但是组织必须确定他们想要调查多久之前的数据。许多组织当前的趋势是通过对电子邮件实施短期保留策略来减少法律责任。

知道不同角色之间的区别。数据所有者负责分类、标记和保护数据。系统所有者负责处理数据的系统。业务和任务所有者拥有流程, 并确保系统对组织的价值。数据处理者通常是为组织处理数据的第三方实体。管理员基于数据所有者提供的指导方针授权访问数据。用户在执行工作任务的过程中访问数据。保管者负责日常存储和保护数据。

了解7条安全港原则。欧盟数据保护法规定保护隐私数据。第三方同意遵守7条安全港原则,以确保它们遵守欧盟数据保护法。7条原则是通知、选择、向前传输、安全性、数据完整性、访问和执行。

了解安全控制基线。安全控制基线提供一份组织可以用作基线的控制清单, 并不是所有的基线适用于所有的组织。然而, 组织可以应用审视和定制技术来选择满足自身需求的基线。

 

请点击文末右下角“在看”按钮

请分享给需要学习CISSP的朋友

CISSP备考知识点CHECKLIST---域2:资产安全

原文始发于微信公众号(CISSP Learning):CISSP备考知识点CHECKLIST---域2:资产安全

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年2月19日12:41:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CISSP备考知识点CHECKLIST---域2:资产安全https://cn-sec.com/archives/2491947.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息