①安全管理
安全治理
Management,管理,管理者为了达到特定目的而对管理对象进行的计划、 组织、指挥、协调和控制的一系列活动
governance,治理,治理是或公或私的个人和机构进行经营、管理相同事务的诸多方式的总和
管理强调的是一个过程活动,而治理强调的是为了达到同一目标,多方面的协调
安全管理计划
安全管理计划能确保安全策略的适当创建、实现和实施。建立安全管理计划的流程
安全框架
企业安全架构
Zachman,Zachman框架是一个二维模型,使用6个基本疑问词(什么、如何、哪里、谁、合适、为何)和不同的视觉维度(计划人员、所有者、设计人员、建设人员、实施人员和工作人员)二维交叉,对企业给出了一个整体性的理解
TOGAF,开放群组架构框架,由美国国防部开发并提供了设计、实施和治理企业信息架构的方法。架构允许技术架构设计师从企业不同的视角(业务、数据、应用程序和技术)去理解企业,确保开发出环境及组件所必须的技术,最终实现业务需求
SABSA,舍伍德的商业应用安全架构,是一个分层模型,在第一层从安全的角度定义了业务需求
安全控制架构
COBIT,是一组由国际信息系统审计与控制协会和IT治理协会制定的一个治理与管理的框架
COSO,由反欺诈财务报告全国委员会发起组织委员会开发,用于处理财务欺诈活动并汇报
安全管理架构
ISO/IEC 27000,由ISO和IEC联合开发的关于如何开发和维护信息安全管理体系的国际标准
安全流程管理架构
ITIL,以流程为基础、以客户为导向的IT服务管理指导框架,摆脱了传统IT管理以技术管理为焦点的弊端,实现了从技术管理到流程管理,再到服务管理的转化
CMMI,能力成熟度模型集成,用来确定组织流程成熟度的一种方式
安全策略体系
安全策略是高级管理层制定的一个全面声明,规定安全在组织内所扮演的角色,是战略目标
标准、基线、指南、详细措施是战术目标
安全人员管理
高级管理者
组织的所有者的角色被分配给最终负责组织机构安全维护和最关心保护资产的人
制定长远规划、业务目标和目的
确保组织在信息安全方面采取适当的应尽关注和应尽职责
安全专家
安全专家、信息安全官或计算机应急响应团队以上角色被分配给受过培训和经验丰富的网络
工程师、系统工程师和安全工程师,对落实高层管理部门下达的指示负责
安全专家不是决策制定者,只是实现者
数据所有者
被分配给在安全解决方案中为了放置和保护信息而负责对信息进行分类的人
通常,数据所有者是层次较高的、最终负责数据保护的管理者
一般会将实际管理数据的任务委派给数据管理员
数据所有者具有应尽关注职责,决定其负责的数据分类,负责确保实施必要的安全控制
数据管理员
被分配给负责实施安全策略和上层管理者规定的保护任务的用户
数据管理员通过执行所有必要的措施为数据提供适当的CIA保护,并完成上层管理者委派的要求和责任
用户
被分配给具有安全系统访问权限的任何人(最小特权原则)
审计人员
负责测试和认证安全策略是否被正确实现以及衍生的安全解决方案是否合适
②风险管理
风险的定义,风险=威胁*威胁性*资产,信息资产遭受损坏并给企业带来负面影响的潜在可能性
威胁建模
威胁建模是潜在的威胁被识别、分类和分析的一个安全流程
识别威胁
STRIDE威胁分类
Spoofing,电子欺骗,通过使用伪造身份获得对目标系统访问的攻击行为
Tampering,篡改,任何对数据进行未授权的更改或操纵的行为,不管是传输中的数据还是被存储的数据
Repudiation,否认,用户或攻击者否认执行了一个动作或行为的能力
Information Disclose,信息披露,将私人、机密或受控信息揭露、传播给外部或未授权实体的行为
DoS,拒绝服务,攻击试图阻止对资源的授权使用
Elevation of privilege,权限提升,有限的用户账号被转换成拥有更大特权、权利和访问权的账户
削减分析
执行消减是为了分解应用程序、系统或环境,分解流程中,需要了解
优先级和响应
威胁可以用优先级标签进行定级,包括概率*潜在损失的排名、高中低评级和DREAD评级系统
DREAD评级系统
Damage,危害性
Reproducibility,再现性
Exploitability,可利用性
Affected Users,受影响用户
Discoverability,可发现性
风险管理
风险管理是信息安全管理的核心内容
风险识别
风险评估
风险处置
风险管理框架
法律、法规、安全教育、采购中的风险
原文:https://www.cnblogs.com/Sosillya/p/12022763.html