看书
- 《CBK》 官方,有些地方晦涩
- All-in-One 内容太多
- 《OSG》:介于两者中间,建议主要看它。考试指南
- 建议先看 All-in-One,然后 CBK,然后 OSG。
基本概念
- CIA
- 机密性
- 完整性:真实、准确、完备
- 防止未授权修改。
- 防止授权用户不恰当的修改
- 保持内部一致性、外部一致性
- 可用性
- 破坏(DAD):泄露、篡改、破坏
- 访问控制
- 保护机制
- 机密性 C
- 完整性 I
- 哈希
- 配置管理
- 变更控制
- 访问控制
- 数字签名
- CRC
- 可用性
- RAID
- 集群
- 负载均衡
- 冗余
- 备份
- 磁盘印象
- 位置和场外设施
- 回滚
- 故障转移
- 分层
- 抽象
- 数据隐藏
- 加密
安全治理原则
- 战略一致:IT战略由业务战略驱动
- 组织流程
- 组织角色与职责
- 高级管理层:信息安全最终负责人
- 信息安全专家
- 首席信息官 CIO
- 首席安全官 CSO
- 安全指导委员会
- 审计委员会
- 风险管理委员会
- 安全管控框架
- COBIT:六个原则。
- 为利益方创造价值
- 采用整体分析法
- 动态地治理
- 把治理从管理中分离
- 根据企业需求量身定制
- 采用端到端的治理系统
- CMM
- 初始
- 可重复
- 已定义
- 已管理:可衡量才可管理
- 优化:持续改进
- CMMI
- Initial
- Managed
- Defined
- Quantitatively Managed
- Optimizing
- IT服务管理,ITIL(最佳事件框架)
- 信息安全管理
- ISO20071
- PDCA模型。Plan,Do,Check,Act
- 最佳实践控制集
- COSO:内部控制-整体框架
- Zachman 框架。企业架构鼻祖。
- TOGAF 框架。开发和维护架构模型
- SABSA 安全架构框架。
- Due Care / Due Diligence
- DC 是制定标准、基线、程序
- DD 是具体的实践,持续的使用安全框架。收集信息,识别风险。外包决策、供应商评估。
安全文档
- policy 方针策略。
- Regulatory
- Advisory
- informative
- standard。强制。
- baseline。最低标准
- guideline。建议性的
- procedure。详细步骤。
威胁建模:识别威胁