CISSP-D1-安全与风险管理
CISSP-D3-安全架构与工程
CISSP-D4-通讯与网络安全
CISSP-D5-身份与访问控制

D2 :资产安全

一、资产安全概念:D2-1~3

二、保护信息:D2-4~7

D2-1-信息生命周期

1、理解什么是信息生命周期

生命周期模型描述了: 一个实体在其生命周期中,所经历的变化。企业去管理和控制,对他们的信息访问,是非常重要的。如果企业不能很好的理解信息处置过程以及存储位置等方面内容,那么相关防护手段,例如防火墙等是无法起到很好的作用

3、掌握信息生命周期的四个阶段

  • 获取

    • 组织从其他地方复制或从头创建
    • 采取一些步骤使之有价值,并应用一些策略性的控制
  • 使用
    • 确保其机密性、完整行和可用行的最大挑战
    • 设置访问级别、正确的授权
    • 由于信息被使用,我们必须确保其内部一致性,一致性也是一个策略和法规遵从性的问题
  • 存档
    • 授权控制,确保备份数据被保护、保留数据时长
  • 处置
    • 数据是否真者的被销毁、是否被正确的销毁

D2-2-信息分类

1、了解信息分类的基本概念

为了量化一个组织如果丢失了信息后可能承受多少的损失

2、 了解数据分类级别

  • 商业公司数据分类级别

    • 机密
    • 隐私
    • 敏感
    • 公开

  • 军事机构的数据分类级别

    • 绝密
    • 秘密
    • 机密
    • 敏感但未分类
    • 未分类

  • 了解数据分类的准则

    • 数据的用途
    • 数据的价值
    • 数据的寿命
    • 数据泄漏可能导致的损失级别
    • 数据被修改或出现讹误可能导致的损失级别
    • 保护数据的法律、法规或合约责任
    • 数据对安全的影响
    • 谁能访问这些数据
    • 由睡维护这些数据
    • 谁能够重造这些数据
    • 如果数据不可用或出现讹误。那么造成的机会损失有多少

  • 掌握数据分类计划的步骤

    • 定义分类级别
    • 制定确定如何分类数据的准则
    • 任命负责为数据分类的数据所有者
    • 任命负责维护数据及其安全几倍的数据管理员
    • 定制没中分类几倍所需的安全控制或保护机制
    • 记录上述分类问题的例外情况
    • 说明可用于将信息保管转交给其他数据所有者的办法
    • 建立一个定期审查信息分类和所有权的措施,向数据看管员通宝任何变更
    • 知名信息解密措施
    • 将这些问题综合为安全意识计划,让所有员工都了解如何处理不同级别的数据

D2-3-信息相关的角色和责任

1、理解高级管理员的责任

  • 负有最终责任。应尽职责
  • 定制长远规划,业务目标和目的
  • 确保组织在信息安全方面采取适当的应尽注意和应尽责任

2、理解数据所有者的责任

  • 信息所有者,通常是一名管理人员,负责管理某个业务部门,对特定信息子集的保护和应用负有最终责任
  • 数据所有者具有“应尽关注”职责
  • 决定其负责的数据的分类
  • 负责确保实施必要的安全控制

3、理解数据监管员的责任

  • 信息监管员,负责数据的保护和维护工作
  • 角色通常用IT或者安全部门员工担任
  • 实施和维护安全控制措施
  • 执行数据的常规备份
  • 定期验证数据的完整性
  • 从备份介质还原数据,保存活动记录
  • 实现公司关于信息安全和数据保护的信息安全策略、标准和指南所指定的需求

4、理解安全管理员的责任

  • 负责实施和维护企业内具体的安全网络设备和软件
  • 必须确保为用户授予访问权限支持公司策略和数据所有者的指示

D2-4-适当的数据保留

1、目的: 完整性、可用性

2、保留策略定制的相关概念

  • 保存什么数据
    具有并遵循文档化的数据保留策略
  • 保留时长
  • 哪里保存

3、保留方法

  • 分类法
  • 分级
  • 标准化
  • 索引

4、应该保留什么数据、保留时长

  • 业务文档:7年
  • 发票:5年
  • 应付与应收账款:7年
  • 人力资源文件:7年(离职)或3年(未雇佣的候选人)
  • 法律通信:永久

5、电子发现(ESI)的概念

  • 电子存储信息的发现(ESI)或称电子发现是被法院或外部法律所定制的,与法律陈旭有关的所有ESI过程
  • 电子发现参考模型(EDRM)八个步骤
    • 识别
    • 保存
    • 收集
    • 处理
    • 审查
    • 分析
    • 生成
    • 展示

D2-5-保护隐私

1、 隐私数据相关人员和责任

  • 数据所有者一个责任就是数据分类和批准披露的请求
  • 数据所有者间接或直接决定谁可以访问特定数据
  • 数据处理者保护着数据隐私,对于这个群体的隐私保护方面的关键问题是培训和审计

2、正确处理隐私数据残留的方法

  • 覆盖
  • 消磁
  • 加密
  • 物理损毁

3、隐私数据收集的限制

  • 了解组织所在地的特定隐私法律
  • 组织收集的个人数据类型及生命周期必须有明确的书面策略
  • 编写策略需回答
    • 收集个人什么数据
    • 为什么收集这些数据、以及如何使用
    • 与谁共享数据
    • 谁拥有收集的数据
    • 这些数据的主体
    • 什么时候销毁这些数据
    • 有什么具体分法律或法规与这些数据相关

D2-6-保护资产

1、数据安全控制的方法

数据的三种状态

  • 禁止的数据
    简单且普遍的解决办法:加密
  • 运动中的数据
    • 强加密(TLS,IPSec)
    • 在关键节点之间使用信任的信道(VPN)
  • 使用中的数据
    确保测试软件,解决共享存储器信道攻击问题

2、电子介质的控制方法

  • 清楚的标记和记录
  • 不在需要时能被正确擦除

3、介质的生命周期管理

  • 追踪(审计日志记录)
  • 有效访问控制
  • 追踪备份版本的数量和位置
  • 对介质变更的历史记录归档
  • 确保环境条件不会危及介质安全
  • 确保介质的完整性
  • 定期清查介质
  • 执行安全处置活动
  • 标记内部和外部标签

4、保护其他资产

  • 移动设备
  • 纸质记录
  • 保险箱

D2-7-防止数据泄漏

1、数据泄漏的原因

  • 转移信息不恰当
  • 笔记本电脑或介质丢失、被盗
  • 残余数据
  • 意识培训不足

2、数据泄漏防护(DLP)的相关方法

  • 网络DLP

    • 对运动中的数据应用数据保护策略
    • 通常是一些网络周边的设备
  • 端点DLP
    • 对静态的数据和使用中的数据应用数据保护策略
    • 部署在每个受保护的端点上以软件的形式运行
  • 混合DLP
    • 在整个企业中不熟NDLP和EDLP
    • 贵也复杂
    • 提供最好的安全覆盖

CISSP-D2-资产安全相关推荐

  1. 【CISSP备考笔记】第2章:资产安全

    第二章:资产安全 2.1 任何对组织有价值的东西都可成为资产,包括人员.合作伙伴.设备.设施.声誉和信息. 2.2 信息生命周期:获取.使用.存档.处置. 2.3 信息分类: 商业公司的信息敏感级别: ...

  2. CISSP AIO7 学习笔记 - 第二章 资产安全 2.1-2.8小节 附送脑图

    简单脑图 疯狂补作业,休息时间全补上,这章比较简单,一篇就可以搞完...GOGOGOGO 2.1 信息生命周期 生命周期模型描述了一个实体在其生命周期中经历的变化. 在宏观层面上,我们可将信息分为四个 ...

  3. CISSP第二章:资产安全知识点

    在线图片,重点见png. 资产安全 1.数据管理 数据管理最佳实践参考 制定数据策略,明确数据管理的战略目标和原则 清晰定义数据的角色和职责,包括数据提供者.所有者和管理者 数据管理流程中的数据质量控 ...

  4. CISSP备考系列之行政性管理[10-37]

    [CISSP是小众,与MCSE,CCNA一类的不同,资料很少.本人在准备CISSP考试.总结一些考点,供大家参考(内容主要是<CISSP认证考试权威指南(第4版)>的读书笔记,感谢作者和译 ...

  5. CISSP的成长之路(二):为什么要获得CISSP认证

    第一个问题,为什么要获得CISSP呢? 信息安全是一个相对的概念,在安全威胁很低的情况下,安全专家通常是被人们所遗忘的对象.但随着信息技术的发展,当年只有精通系统和网络底层,推动技术进步的高手才能被称 ...

  6. J0ker的CISSP之路:复习-Information Security Management(4)

    文章同时发表在:[url]http://netsecurity.51cto.com/art/200710/57991.htm[/url] 在<J0ker的CISSP之路>系列的上一篇文章里 ...

  7. Cissp-【第2章 资产安全】-2021-1-21(186页-204页)

    不是推荐书籍,为了明年备考CISSP,所以在此地做个笔记,今后也能够回顾,同时也能激励自己坚持学下去. 1.介质具备生命周期,介质上的数据也同样有完整的生命周期 2.常见的数据泄漏形式 3.数据泄露V ...

  8. Cissp-【第2章 资产安全】-2021-1-14(163页-185页)

    不是推荐书籍,为了明年备考CISSP,所以在此地做个笔记,今后也能够回顾,同时也能激励自己坚持学下去. 1.资产安全 2.人员,声誉都是资产的组成部分 3.信息的生命周期,获取,使用,存档,处理 4. ...

  9. J0ker的CISSP之路:复习-Access Control(3)

    本文同时发表在:[url]http://netsecurity.51cto.com/art/200801/63649.htm[/url] 在<J0ker的CISSP之路>系列的上一篇文章里 ...

  10. CISSP的成长之路(七):复习信息安全管理(1)

    上一篇文章<复习流程和资源>里,J0ker给大家介绍了一般的复习流程和对复习比较有帮助的资源.从本文开始,J0ker将带大家进入CISSP考试的正式复习过程:2007年(ISC)2修改过C ...

最新文章

  1. Aria2打造属于自己的下载神器
  2. wifi协议_冷知识科普 手机上的Wifi/WLAN究竟有何区别
  3. Ubuntu系统的安装与使用:[3]搜狗输入法安装
  4. [渝粤教育] 西南科技大学 单片机原理与应用 在线考试复习资料(2)
  5. 在eclipse安卓sqlite怎么用_把安卓手机性能发挥到极致之-Aid Learning
  6. Java基础03 字符串连接符+
  7. Delphi 调用Domino Lotus OA
  8. 遍历josn的三种方式
  9. Rhino基础教程---三管混接(法二、法三)
  10. 最新投影圣经投影赞美诗歌圣经诗歌2020
  11. Vue获取手机设备信息
  12. 银行会计学3(特点、核算的前提假设、对象和标准)
  13. php图书馆注册模板,php微信公众号开发之校园图书馆
  14. 产品思维训练 | 你的项目总是不能按期上线,你会如何解决?
  15. 计算机上创建表格,Word 2007中插入表格或创建表格 -电脑资料
  16. SD卡插入手机容量变小,U盘低级格式化HA-LLFTOOL
  17. bulldog2 靶机渗透
  18. 电子邮件客户端软件--foxmail(2)
  19. 怎么远程控制linux,Linux远程控制
  20. SQL注入——联合注入

热门文章

  1. 汽车销售管理系统数据库的设计与实现
  2. 估计标准误差syx_相关系数与估计标准误差的关系
  3. vscode远程连接服务器方法
  4. 操作系统之文件系统:4、文件存储空间管理(空闲表法、空闲链表法、位示图法、成组链接法)
  5. Envoy代理GRPC服务支持通过restful进行访问
  6. 直播中常用的美颜sdk动态贴纸功能是什么?技术怎么实现的?
  7. 使用docker构架服务 jekyll 和 java应用程序
  8. pg数据库数据量很小但是data目录很大的排查思路
  9. Vue3和码上掘金实现猜数字小游戏
  10. 阿里云服务器建站怎么上传文件?