CISSP-D2-资产安全
CISSP-D1-安全与风险管理
CISSP-D3-安全架构与工程
CISSP-D4-通讯与网络安全
CISSP-D5-身份与访问控制
D2 :资产安全
一、资产安全概念:D2-1~3
二、保护信息:D2-4~7
D2-1-信息生命周期
1、理解什么是信息生命周期
生命周期模型描述了: 一个实体在其生命周期中,所经历的变化。企业去管理和控制,对他们的信息访问,是非常重要的。如果企业不能很好的理解信息处置过程以及存储位置等方面内容,那么相关防护手段,例如防火墙等是无法起到很好的作用
3、掌握信息生命周期的四个阶段
- 获取
- 组织从其他地方复制或从头创建
- 采取一些步骤使之有价值,并应用一些策略性的控制
- 使用
- 确保其机密性、完整行和可用行的最大挑战
- 设置访问级别、正确的授权
- 由于信息被使用,我们必须确保其内部一致性,一致性也是一个策略和法规遵从性的问题
- 存档
- 授权控制,确保备份数据被保护、保留数据时长
- 处置
- 数据是否真者的被销毁、是否被正确的销毁
D2-2-信息分类
1、了解信息分类的基本概念
为了量化一个组织如果丢失了信息后可能承受多少的损失
2、 了解数据分类级别
商业公司数据分类级别
- 机密
- 隐私
- 敏感
- 公开
军事机构的数据分类级别
- 绝密
- 秘密
- 机密
- 敏感但未分类
- 未分类
了解数据分类的准则
- 数据的用途
- 数据的价值
- 数据的寿命
- 数据泄漏可能导致的损失级别
- 数据被修改或出现讹误可能导致的损失级别
- 保护数据的法律、法规或合约责任
- 数据对安全的影响
- 谁能访问这些数据
- 由睡维护这些数据
- 谁能够重造这些数据
- 如果数据不可用或出现讹误。那么造成的机会损失有多少
掌握数据分类计划的步骤
- 定义分类级别
- 制定确定如何分类数据的准则
- 任命负责为数据分类的数据所有者
- 任命负责维护数据及其安全几倍的数据管理员
- 定制没中分类几倍所需的安全控制或保护机制
- 记录上述分类问题的例外情况
- 说明可用于将信息保管转交给其他数据所有者的办法
- 建立一个定期审查信息分类和所有权的措施,向数据看管员通宝任何变更
- 知名信息解密措施
- 将这些问题综合为安全意识计划,让所有员工都了解如何处理不同级别的数据
D2-3-信息相关的角色和责任
1、理解高级管理员的责任
- 负有最终责任。应尽职责
- 定制长远规划,业务目标和目的
- 确保组织在信息安全方面采取适当的应尽注意和应尽责任
2、理解数据所有者的责任
- 信息所有者,通常是一名管理人员,负责管理某个业务部门,对特定信息子集的保护和应用负有最终责任
- 数据所有者具有“应尽关注”职责
- 决定其负责的数据的分类
- 负责确保实施必要的安全控制
3、理解数据监管员的责任
- 信息监管员,负责数据的保护和维护工作
- 角色通常用IT或者安全部门员工担任
- 实施和维护安全控制措施
- 执行数据的常规备份
- 定期验证数据的完整性
- 从备份介质还原数据,保存活动记录
- 实现公司关于信息安全和数据保护的信息安全策略、标准和指南所指定的需求
4、理解安全管理员的责任
- 负责实施和维护企业内具体的安全网络设备和软件
- 必须确保为用户授予访问权限支持公司策略和数据所有者的指示
D2-4-适当的数据保留
1、目的: 完整性、可用性
2、保留策略定制的相关概念
- 保存什么数据
具有并遵循文档化的数据保留策略 - 保留时长
- 哪里保存
3、保留方法
- 分类法
- 分级
- 标准化
- 索引
4、应该保留什么数据、保留时长
- 业务文档:7年
- 发票:5年
- 应付与应收账款:7年
- 人力资源文件:7年(离职)或3年(未雇佣的候选人)
- 法律通信:永久
5、电子发现(ESI)的概念
- 电子存储信息的发现(ESI)或称电子发现是被法院或外部法律所定制的,与法律陈旭有关的所有ESI过程
- 电子发现参考模型(EDRM)八个步骤
- 识别
- 保存
- 收集
- 处理
- 审查
- 分析
- 生成
- 展示
D2-5-保护隐私
1、 隐私数据相关人员和责任
- 数据所有者一个责任就是数据分类和批准披露的请求
- 数据所有者间接或直接决定谁可以访问特定数据
- 数据处理者保护着数据隐私,对于这个群体的隐私保护方面的关键问题是培训和审计
2、正确处理隐私数据残留的方法
- 覆盖
- 消磁
- 加密
- 物理损毁
3、隐私数据收集的限制
- 了解组织所在地的特定隐私法律
- 组织收集的个人数据类型及生命周期必须有明确的书面策略
- 编写策略需回答
- 收集个人什么数据
- 为什么收集这些数据、以及如何使用
- 与谁共享数据
- 谁拥有收集的数据
- 这些数据的主体
- 什么时候销毁这些数据
- 有什么具体分法律或法规与这些数据相关
D2-6-保护资产
1、数据安全控制的方法
数据的三种状态
- 禁止的数据
简单且普遍的解决办法:加密 - 运动中的数据
- 强加密(TLS,IPSec)
- 在关键节点之间使用信任的信道(VPN)
- 使用中的数据
确保测试软件,解决共享存储器信道攻击问题
2、电子介质的控制方法
- 清楚的标记和记录
- 不在需要时能被正确擦除
3、介质的生命周期管理
- 追踪(审计日志记录)
- 有效访问控制
- 追踪备份版本的数量和位置
- 对介质变更的历史记录归档
- 确保环境条件不会危及介质安全
- 确保介质的完整性
- 定期清查介质
- 执行安全处置活动
- 标记内部和外部标签
4、保护其他资产
- 移动设备
- 纸质记录
- 保险箱
D2-7-防止数据泄漏
1、数据泄漏的原因
- 转移信息不恰当
- 笔记本电脑或介质丢失、被盗
- 残余数据
- 意识培训不足
2、数据泄漏防护(DLP)的相关方法
- 网络DLP
- 对运动中的数据应用数据保护策略
- 通常是一些网络周边的设备
- 端点DLP
- 对静态的数据和使用中的数据应用数据保护策略
- 部署在每个受保护的端点上以软件的形式运行
- 混合DLP
- 在整个企业中不熟NDLP和EDLP
- 贵也复杂
- 提供最好的安全覆盖
CISSP-D2-资产安全相关推荐
- 【CISSP备考笔记】第2章:资产安全
第二章:资产安全 2.1 任何对组织有价值的东西都可成为资产,包括人员.合作伙伴.设备.设施.声誉和信息. 2.2 信息生命周期:获取.使用.存档.处置. 2.3 信息分类: 商业公司的信息敏感级别: ...
- CISSP AIO7 学习笔记 - 第二章 资产安全 2.1-2.8小节 附送脑图
简单脑图 疯狂补作业,休息时间全补上,这章比较简单,一篇就可以搞完...GOGOGOGO 2.1 信息生命周期 生命周期模型描述了一个实体在其生命周期中经历的变化. 在宏观层面上,我们可将信息分为四个 ...
- CISSP第二章:资产安全知识点
在线图片,重点见png. 资产安全 1.数据管理 数据管理最佳实践参考 制定数据策略,明确数据管理的战略目标和原则 清晰定义数据的角色和职责,包括数据提供者.所有者和管理者 数据管理流程中的数据质量控 ...
- CISSP备考系列之行政性管理[10-37]
[CISSP是小众,与MCSE,CCNA一类的不同,资料很少.本人在准备CISSP考试.总结一些考点,供大家参考(内容主要是<CISSP认证考试权威指南(第4版)>的读书笔记,感谢作者和译 ...
- CISSP的成长之路(二):为什么要获得CISSP认证
第一个问题,为什么要获得CISSP呢? 信息安全是一个相对的概念,在安全威胁很低的情况下,安全专家通常是被人们所遗忘的对象.但随着信息技术的发展,当年只有精通系统和网络底层,推动技术进步的高手才能被称 ...
- J0ker的CISSP之路:复习-Information Security Management(4)
文章同时发表在:[url]http://netsecurity.51cto.com/art/200710/57991.htm[/url] 在<J0ker的CISSP之路>系列的上一篇文章里 ...
- Cissp-【第2章 资产安全】-2021-1-21(186页-204页)
不是推荐书籍,为了明年备考CISSP,所以在此地做个笔记,今后也能够回顾,同时也能激励自己坚持学下去. 1.介质具备生命周期,介质上的数据也同样有完整的生命周期 2.常见的数据泄漏形式 3.数据泄露V ...
- Cissp-【第2章 资产安全】-2021-1-14(163页-185页)
不是推荐书籍,为了明年备考CISSP,所以在此地做个笔记,今后也能够回顾,同时也能激励自己坚持学下去. 1.资产安全 2.人员,声誉都是资产的组成部分 3.信息的生命周期,获取,使用,存档,处理 4. ...
- J0ker的CISSP之路:复习-Access Control(3)
本文同时发表在:[url]http://netsecurity.51cto.com/art/200801/63649.htm[/url] 在<J0ker的CISSP之路>系列的上一篇文章里 ...
- CISSP的成长之路(七):复习信息安全管理(1)
上一篇文章<复习流程和资源>里,J0ker给大家介绍了一般的复习流程和对复习比较有帮助的资源.从本文开始,J0ker将带大家进入CISSP考试的正式复习过程:2007年(ISC)2修改过C ...
最新文章
- Aria2打造属于自己的下载神器
- wifi协议_冷知识科普 手机上的Wifi/WLAN究竟有何区别
- Ubuntu系统的安装与使用:[3]搜狗输入法安装
- [渝粤教育] 西南科技大学 单片机原理与应用 在线考试复习资料(2)
- 在eclipse安卓sqlite怎么用_把安卓手机性能发挥到极致之-Aid Learning
- Java基础03 字符串连接符+
- Delphi 调用Domino Lotus OA
- 遍历josn的三种方式
- Rhino基础教程---三管混接(法二、法三)
- 最新投影圣经投影赞美诗歌圣经诗歌2020
- Vue获取手机设备信息
- 银行会计学3(特点、核算的前提假设、对象和标准)
- php图书馆注册模板,php微信公众号开发之校园图书馆
- 产品思维训练 | 你的项目总是不能按期上线,你会如何解决?
- 计算机上创建表格,Word 2007中插入表格或创建表格 -电脑资料
- SD卡插入手机容量变小,U盘低级格式化HA-LLFTOOL
- bulldog2 靶机渗透
- 电子邮件客户端软件--foxmail(2)
- 怎么远程控制linux,Linux远程控制
- SQL注入——联合注入