看书

• 《CBK》 官方，有些地方晦涩
• All-in-One 内容太多
• 《OSG》：介于两者中间，建议主要看它。考试指南
• 建议先看 All-in-One，然后 CBK，然后 OSG。

基本概念

• CIA
  • 机密性
  • 完整性：真实、准确、完备
    • 防止未授权修改。
    • 防止授权用户不恰当的修改
    • 保持内部一致性、外部一致性
  • 可用性
  • 破坏（DAD）：泄露、篡改、破坏
• 访问控制
• 保护机制
  • 机密性 C
    • 数据加密
    • 传输加密
    • 访问控制
  • 完整性 I
    • 哈希
    • 配置管理
    • 变更控制
    • 访问控制
    • 数字签名
    • CRC
  • 可用性
    • RAID
    • 集群
    • 负载均衡
    • 冗余
    • 备份
    • 磁盘印象
    • 位置和场外设施
    • 回滚
    • 故障转移
• 分层
  • 纵深防御
• 抽象
• 数据隐藏
• 加密

安全治理原则

• 战略一致：IT战略由业务战略驱动
  • 安全计划
    • 职责
    • 类型
• 组织流程
  • 变更管理
  • 数据分级
• 组织角色与职责
  • 高级管理层：信息安全最终负责人
  • 信息安全专家
  • 首席信息官 CIO
  • 首席安全官 CSO
  • 安全指导委员会
  • 审计委员会
  • 风险管理委员会
• 安全管控框架
  • COBIT：六个原则。
    • 为利益方创造价值
    • 采用整体分析法
    • 动态地治理
    • 把治理从管理中分离
    • 根据企业需求量身定制
    • 采用端到端的治理系统
  • CMM
    • 初始
    • 可重复
    • 已定义
    • 已管理：可衡量才可管理
    • 优化：持续改进
  • CMMI
    • Initial
    • Managed
    • Defined
    • Quantitatively Managed
    • Optimizing
• IT服务管理，ITIL（最佳事件框架）
• 信息安全管理
  • ISO20071
    • PDCA模型。Plan，Do，Check，Act
    • 最佳实践控制集
• COSO：内部控制-整体框架
  • 财务报告和披露目标的五类内控要素
    • 控制环境、风险评估、控制联动、信息与沟通、监控
• Zachman 框架。企业架构鼻祖。
• TOGAF 框架。开发和维护架构模型
• SABSA 安全架构框架。
• Due Care / Due Diligence
  • DC 是制定标准、基线、程序
  • DD 是具体的实践，持续的使用安全框架。收集信息，识别风险。外包决策、供应商评估。

安全文档

• policy 方针策略。
  • Regulatory
  • Advisory
  • informative
• standard。强制。
• baseline。最低标准
• guideline。建议性的
• procedure。详细步骤。

威胁建模：识别威胁