cissp读书笔记系列Word文件下载.docx
- 文档编号:21878081
- 上传时间:2023-02-01
- 格式:DOCX
- 页数:9
- 大小:23.27KB
cissp读书笔记系列Word文件下载.docx
《cissp读书笔记系列Word文件下载.docx》由会员分享,可在线阅读,更多相关《cissp读书笔记系列Word文件下载.docx(9页珍藏版)》请在冰豆网上搜索。
身份标识和身份验证方法;
安全设备;
基础设施的配置。
7、物理性控制包括:
控制个人对设施和不同部门的访问;
锁定系统;
去除不必要的软驱和光驱;
保护设施的周边;
检测入侵;
环境控制。
8、安全规划可以分为3个不同的领域:
战略规划、战术规划和操作规划。
战略规划可能包含以下目标:
◆确保风险被正确理解并得到合理解决;
◆保证遵守法律法规;
◆使整个组织机构的安全责任一体化;
◆建立一个成熟的模型,从而实现持续的完善;
◆将安全作为一项业务成就,以吸引更多的客户。
操作规划示例:
◆执行安全风险评估;
◆不允许执行降低生产能力的安全变更;
◆维护和实现控制;
◆长期扫描脆弱性并提供补丁程序;
◆跟踪策略遵守情况。
9、cobit分为4个领域:
计划与组织、获取与实现、交付与支持、监控与评估。
cobit的组件包括:
执行摘要、管理指导原则、架构、控制目标、实现工具集以及审计指导原则。
10、coso是一个企业治理模型,cobit是一个it治理模型。
coso更多面向战略层面,cobit则更为关注操作层面。
从it角度来看,可以将cobit视为满足许多coso目标的一种方式。
11、cobit定义it目标,itil则在过程级别上就如何实现这些目标提供需要采取的步骤。
虽然itil是一个安全组件,但是它更加关注it部门与其服务的内部部门之间的内部服务级协议。
12、失效模式和影响分析(fmea)是一种确定功能、标识功能失效并通过结构化过程评估失效原因和失效影响的方法。
我们既可以认为fmea能够洞察未来并确定潜在的失效领域,也可以认为它能够发现脆弱性,并且在脆弱性转变为真正的障碍之前采取纠正措施。
13、使用fmea保证风险管理的原因是:
随着企业更细化地理解风险,风险管理的详细程度、使用的变量和复杂程度也持续增加。
随着人们的风险意识不断增强,这种确定潜在缺陷的系统方式正发挥着越来越大的作用。
事实证明,在确定更加复杂的环境和系统中可能发生的失效方面,故障树分析方法更为有用。
14、安全策略是高级管理层制定的一个全面声明,它规定安全在组织机构内所扮演的角色。
安全策略可以是组织化策略,也可以是针对特定问题的策略或针对系统的策略。
15、在组织化安全策略中,管理层规定了应该如何建立安全计划,制定安全计划的目标,分配责任,说明安全的战略和战术价值,并且概述了应该如何执行安全计划。
这种策略必须涉及相关法律、规章、责任以及如何遵守这些规定。
组织化安全策略为组织机构内部未来的所有安全活动提供了范围和方向,还说明了高级管理层愿意接受多大的风险。
16、安全策略重要性的全面总结:
◆确定公司认为价值重大的资产;
◆为安全团队及其活动提供权力;
◆在出现与安全有关的冲突时提供审核参考;
◆规定公司的安全目的与目标;
◆明确个人责任;
◆有助于防止未加以说明的事件;
◆定义安全团队的规模及其职能;
◆明确事故响应责任;
◆确定公司如何处理应当关注
的法律、法规和标准。
17、安全策略可以分为:
规章性策略、建议性策略和指示性策略。
规章性策略用在保险机构、卫生保健机构、公共设施和其他政府控制的行业中;
建议性策略用在医疗信息处理、金融事务或者机密信息处理中。
指示性策略不是一种强制性策略,而是用来指导个人与公司相关的特定问题。
18、“适当勤奋”=“去检测”,它是使用最佳实践、公认标准和其他工具来识别风险所采取的步骤。
“适当关注”=“去纠正”,它指的是纠正确定威胁,或者将其减轻到可接受的风险级别。
19、商业公司的信息敏感级别从高到低:
机密、隐私、敏感、公开。
20、军事机构的信息敏感级别从高到低:
绝密、秘密、机密、敏感但非机密、非机密。
21、分类规则必须适用于任何格式的数据,这些格式包括数字、纸张、视频、传真、音频等。
22、数据正确分类计划的必要步骤:
◆定义分类级别;
◆指定确定如何分类数据的准则;
◆由数据所有者指明其负责的数据的分类;
◆任命负责维护数据及其安全级别的数据看管员;
◆制订每种分类级别所需的安全控制或保护机制;
◆记录上述分类问题的例外情况;
◆说明可用于将信息保管转交给其他数据所有者的办法;
◆建立一个定期审查信息分类和所有权的措施。
向数据看管员通报任何变更;
◆指明信息解密措施;
◆将这些问题综合为安全意识计划,让所有员工都了解如何处理不同分类级别的数据。
23、sox法案规定,如果公司不能适当维护内部的企业治理架构,并且公司向sec上报的财务报表存在错误,那么董事会成员可能要承担个人责任。
24、“安全港”这个框架规定,任何组织机构如果需要与欧洲的组织机构交换数据,那么就必须对数据加以保护。
25、与其他国家交换数据的跨国公司还必须了解和遵守经济合作与发展组织(oecd)的指导原则和越境信息流规则。
26、cso与ciso的对比:
大体而言,与ciso角色相比,cso角色的职责更为广泛深入。
ciso通常更加关注技术问题,并且具有it背景。
cso则通常需要更深入地理解业务风险,包括物理安全。
cso更多时候是一名商人,通常只有
大型组织机构才会设立这个职位。
如果某个公司同时设立了这两个角色,那么ciso应当直接向cso报告。
27、信息系统安全指导委员会负责就企业内部的战术和战略安全问题作出总体决策,并且不可以与业务部门有任何联系。
成员应当由来自组织机构各部门的人员组成。
该委员会应当由ceo领导,同时cfo、cio、各部门经理和首席内部审计员都应参与其中。
该该委员会的一些职责:
◆定义组织结构的可接受风险级别;
◆确定安全目标和战略;
◆根据业务需求决定安全活动的优先级别;
◆审查风险评估和审计报告;
◆监控安全风险的业务影响;
◆审查重大的安全违规和事故;
◆批准安全策略和计划的任何重要变更。
28、审计委员会应由董事会任命,以帮助其审查和评估公司的内部运作、内部审计系统以及财务报表的透明度和准确性,使公司的投资者、客户和债权人继续保持对组织机构的信心。
该委员会至少负责:
◆公司财务报表以及向股东和其他人提供的财务信息的完整性;
◆公司的内部控制系统;
◆独立审计员的雇佣和表现;
◆内部审计功能的表现;
◆遵守与道德有关的法律要求和公司策略。
29、审计委员会的目标是在董事会、公司管理层、内部审计员和外部审计员之间提供独立而开放的通信渠道。
30、数据所有者并非是一个技术角色,而是一个业务角色。
每个部门都应当设立一名数据所有者,由他保护该部门最重要的信息。
31、数据分析员负责保证以最佳方式存储数据,从而为需要访问和应用数据的公司与个人提供最大的便利。
数据分析员与数据所有者共同合作,帮助保证建立的数据结构符合并支持公司的业务目标。
32、审计员最关注的是偏见和客观性问题,由第三方进行审计往往可以避免这种问题。
某些情况下,法律条令和法规甚至阻止第三方审计员连续多年为同一个组织机构工作,以防止他们的关系变得过于密切,从而破坏评估和审计的客观性。
33、现在的招聘实践一般包括情景提问、个性测试和个人观察,而不是仅仅考察一个人的工作经历。
34、进行背景调查的最终目的是同时做到以下几点:
◆减少风险;
◆减少招聘成本;
◆降低员工的流动率。
35、知识分割与双重控制是责任与控制分离的两种变化形式。
36、安全意识培训应专门为特定团体特别设计,内容广泛,并在整个组织机构内全面施行。
一个安全意识培训计划通常至少有3种受众:
管理层、职员、技术人员。
安全意识培训必须以各种形式重复最重要的信息,其内容应当保持最新,具有娱乐性、积极性和幽默性,并且易于理解。
最重要的是,它必须得到高级管理层的大力支持。
37、安全管理过程是一个不断循环的过程,它从评估风险和确定需求开始,然后对所涉及的系统和实际应用进行监控与评估,接下来是加强意识,这包括让企业中的所有相关人员都了解需要处理的问题。
最后一步是实现用于解决之前定义的风险和需求的策略与控制。
38、安全管理者需要清晰的报告结构、对职责的理解以及测试和监控功能,以便保证不会由于缺少交流或理解而导致计划流产。
39、信息所有者(也称为数据所有者)是企业最终负责数据保护的人,负责分配信息的机密等级,并且规定应当如何保护信息。
40、coso架构包括下列组件:
控制环境;
风险评估;
控制活动;
信息和通信;
监控。
41、安全治理是一个集成安全组件(产品、人员、培训、流程、策略等)组成的连贯系统,其目标是为了确保组织机构能够持续运营并有望发展壮大。
42、定性分析技术包括:
判断、最佳实践、直觉和经验。
收集数据的定性分析技术示例有:
delphi、集体讨论、情节串联、焦点群体、调查、问卷、检查表、单独会谈以及采访。
43、定性方法的缺点:
◆评估方法及结果相对主观;
◆无法为成本/效益分析建立货币价值;
◆使用主观衡量很难跟踪风险管理目标;
◆没有相应的标准。
44、定量方法的缺点:
◆计算更加复杂;
◆没有可供利用的自动化工具,这个过程完全需要手动完成;
◆需要做大量基础性的工作,以收集与环境相关的详细信息;
45、在一般情况下,分层模式意味着在网络的不同层面上实现不同的安全解决方案。
这些层面涉及的范围从程序代码、所使用的协议、操作系统、应用程序配置直至用户活动以及控制管理上述所有方面的安全程序。
【篇二:
cissp备考系列指南】
cissp备考系列指南
2011年8月5日14:
35
【篇三:
cissp最新培训班详细笔记(110页)】
cissp最新学习笔记
此文是我班2014年高分考生袁同学在准备cissp考试过程中的边看书边整理的一个学习笔记,整理的非常细致到位,特借此供各位备考学员参考。
第1章节到第10章节主要是学习allinone第六版资料时笔记;
第11章到18章节主要是在学习完allinone后做cccure网站上面练习题后,补充的知识点;
第19章到25章节为学习officeialguide教材后补充的知识点;
最后第26章是总复习时作actual练习题时补充的知识点。
在看书3遍allinone后,主要补充学习了preguide的学习笔记,cccure练习题和officialguide进行知识点的补充,最后总复习阶段(1周左右)以本复习笔记为基础,配合actual练习题进行。
目录
一.chapter3:
securitymanagementpractices..........................................................5
1.1安全管理.........................................................................................................5
1.2风险管理.........................................................................................................6
1.3policies、standards、baselines、guidelines、procedures...........................7
1.4classification...................................................................................................8
1.5employee.........................................................................................................9
二.chapter4:
accesscontrol...................................................................................10
2.1identification,authentication(=validating),andauthorization(标识、认证、
授权)..................................................................................................................10
2.2accesscontrolmodels(访问控制模型)....................................................12
2.3accesscontroltechniquesandtechnologies(方法和技术)....................13
2.4accesscontroladministration(访问控制管理).........................................13
2.5accessco
ntrolmethods(访问控制方法)..................................................14
2.6accesscontroltype.....................................................................................15
2.7accesscontrolpractices................................................................................15
2.8accesscontrolmonitoring............................................................................15
2.9afewthreatstoaccesscontrol.....................................................................16
三.chapter5:
securitymodelsandarchitecture.....................................................17
3.1computerarchitecture..................................................................................17
3.2operationsystemarchitecture.....................................................................20
3.3systemarchitecture......................................................................................20
3.4安全模型.......................................................................................................21
3.5运行的安全模式securitymodesofoperation...............................................23
3.6systemsevaluationmethods........................................................................23
3.7afewthreatstosecuritymodelsandarchitectures...................................24
四.chapter6:
physicalsecurity...............................................................................26
4.1planningprocess...........................................................................................26
4.2protectingassets...........................................................................................28
4.3internalsupportsystems..............................................................................28
4.4environmentalissues....................................................................................29
4.5perimetersecurity.........................................................................................31
五.chapter7:
telecommunicationsandnetworkingsecurity.................................33
5.1开放系统模型................................................................................................33
5.2tcp/ip...........................................................................................................34
5.3typeoftransmission.....................................................................................35
5.4lannetworking............................................................................................35
5.5介质访问技术mediaaccesstechnology......................................................36
5.6lanprotocols...............................................................................................37
5.7networkingdevice........................................................................................37
5.8networkingservicesandprotocols...............................................................39
5.9man、wan...................................................................................................40
5.10远程访问remoteaccess.............................................................................43
5.11wirelesstechnologies..................................................................................44
六.chapter8:
cryptography.....................................................................................47
6.1加密方法methodsofencryption..................................................................48
6.2对称算法的类型typeofsymmetricmethods...............................................49
6.3非对称算法的类型.........................................................................................50
6.4messageintegrityhashmd5sha............................................
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- cissp 读书笔记 系列