安全与风险管理思维导图
重点知识点
1.机密性:确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体.
2.完整性:防止非授权篡改,防止授权用户不恰当修改,保证内外部一致性.
3.可用性:确保系统能正常使用.
4.IT治理的定义:把在IT各个方面的最佳实践从公司战略的角度加以有机的融合,从而使企业能够最大化IT在企业中的价值,并能够抓住IT赋予的际遇与竞争优势。
5.RPO:必须恢复哪些应用程序数据才能恢复业务事务的时间点.
6.RTO:在系统的不可用性严重影响到机构之前所允许消耗的最长时间
7.SOC报告:
①SOC1-财务报告
②SOC2-运维相关
③SOC3-大面积用户并且不需要披露具体细节的控制与测试结果—SOC3是SOC2-type2的摘要版
8.GLBA:Gramm-Leach-Billey规则了客户财务信息隐私的条款,特别适用于金融。
9.PCI DSS:针对信用卡
10.ISO 27000 系统:
①ISO 27001 信息安全管理体系建设
②ISO 27002 信息安全管理体系最佳实践
③ISO 27003 信息安全管理体系实施指南
④ISO 27004 信息安全管理测量
⑤ISO 27005 信息安全风险管理
11.威胁建模-STRIDE:
①假冒-Spoofing
②篡改-Tampering
③抵赖-Repudiation
④信息泄露-Information disclosure
⑤拒绝服务-Denial of service
⑥提权-Elevation of privilege
12.定量计算例子:
威胁潜在损失:EF(0-100%)
年发生率:(ARO)
单一损失期望:(SLE)
年度损失期望:(ALE)
SLE=Asset x EF
ALE=SLE x ARO
总价值:value = ALE1-ALE2-Cost
13.COBIT:IT控制与IT治理
14.COSO:企业内部控制的定义
①运营有效性和高效性 ②财务报告的有效性 ③符合适用的法律和法规 ④SOX 404法案
15.ITIL:IT服务管理最佳实践 (ISO 20000)
16.信息安全管理:ISO (27001) ---- PDCA模型
17.渗透测试的步骤:侦查、枚举、脆弱性分析、执行、文档化发现
18.渗透测试最常发生在哪个阶段:操作和维护阶段
19.BCP的最佳实践与标准:
20.Due care:尽职关注,应尽关心–:应该制定安全策略,应该采取安全措施
21.Due Diligence:尽职调查,尽职勤勉–:风险,信息收集,对外包,供应商评估,检查该做的事情有没有做
原文始发于微信公众号(BlackCat安全圈):cissp学习笔记-(第一章-安全与风险管理)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论