1、信息安全治理
信息安全治理的目标:战略一致性(使信息安全与业务战略协调一致);风险管理(缓解风险,风险降至可接受水平);价值实现(为实现业务目标提供支持);资源优化;绩效衡量;鉴证流程整合
信息安全治理是公司治理的一部分,必须与企业的治理一致。
信息安全治理的最佳指标:良好的指标是SMART;定义的成熟度是信息安全治理状态的最佳总体指标。
要成功实施信息安全治理,需要更新安全政策,使管理业务目标与安全流程和程序保持一致。管理目标体现在政策中;政策体现在标准和程序中。
要实现有效的信息安全治理,管理层必须建立和维护一个框架,为制度和管理支持业务目标的综合信息安全计划提供指导。
信息安全治理提供安全架构的基础,必须在建立安全架构之前实施。
信息安全战略记录高级管理层确定的信息安全计划的方向和目标,可为落实有效的信息安全治理提供基础。
实施信息安全治理的第一步是高级管理层确定希望通过信息安全计划取得的结果。
有效的整合GRC(治理、风险管理及合规)流程需要先进行治理,然后才能有效地管理风险并实施合规性。
2、信息安全计划
信息安全计划本质上是用于对战略的一个或多个部分实施和建立持续管理的项目计划。
制定完总体战略后,就可以定义与总体信息安全战略一致的各种具体近期目标。
通过BIA确定的关键业务资源和差距分析,排定补救活动的优先级。
3、信息安全战略
信息安全战略制定是要考虑:有效地管理信息风险以使其达到可接受级别。
控制目标是战略制度的一部分
制定战略的一个要素是确立目标或企业信息安全的理想状态。
风险管理、执行BIA、创建信息资产清单以及风险分析是制定有意义的安全战略的基本前提条件。
4、业务案例
开发信息安全投资的业务案例时,先定义需求,再定义目标。
5、业务影响分析在执行业务持续性计划之前完成。恢复时间目标是业务影响分析的主要交付成果。
6、集中式信息安全管理和分布式信息安全管理
集中式:便于管理;能更好的遵循安全政策
分布式:管理成本高;请求周转速度更快;对业务部门的响应度更高
7、风险管理
风险管理流程的目的是在实现收益机会与最大程度地减少漏洞和损失之间取得最佳平衡。
风险管理流程的主要目标是识别、评估、沟通和解决风险。
风险管理的最佳战略是将风险降至可接受水平。
控制是信息风险管理的一部分。
8、信息安全风险分析
风险分析是评估和了解已识别风险的水平及其性质并确定潜在损害后果的阶段。
9、风险评估
结合BIA或信息资产分类流程确定重要性和/或敏感性及后续分析
10、有效防止操作系统中出现安全漏洞的方法是打补丁。
11、屏蔽子网(隔离器、DMZ区),旨在防止外部用户对内部网络进行攻击。
12、中间人攻击
所谓中间人攻击就是通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。
最初,因为很多通信协议都是以明文来进行传输的,所以攻击者只要将网卡设为混杂模式,伪装成代理服务器监听特定流量就可以实现攻击。后来随着交换机替代集线器,简单的嗅探攻击已经不能成功,必须先进行ARP欺骗才行。
实施中间人攻击时,攻击者常考虑的方式是ARP欺骗或DNS欺骗等,将会话双方的通讯流暗中改变。
13、合同协商之前应完成保密协议的签署;服务等级协议是合同的一部分。
14、不可否认性
不可否认性也叫抗抵赖性。互联网环境下,通过数字证书机制进行的数字签名和时间戳,保证信息的抗抵赖。
15、 事故应对
事故应对是事故管理人员的运营能力,包括识别事故、为事故做准备和应对事故以控制和限制损害。
事故应对计划应包括事故应对团队组织的建立、管理和维护。
事故应对计划的元素:准备、识别、遏制、根除、恢复、吸取经验教训。
差距分析是事故应对计划的基础。
基于风险的事故应对管理计划着重关注高风险项目。
16、 BIA三个主要目标
排定重要性优先顺序:影响越大,优先级越高。
停机时间估计:帮助企业确定恢复时间目标和恢复点目标
资源需求:确定关键流程的资源需求。时间最敏感、影响最大的流程将获得最高的资源分配优先级。
17、发生事故,先确认,再评估影响,再报告管理层。
事故应对的主要关注点是确保达到业务定义的服务交付目标。
18、服务交付目标反映了向内部客户做出的满足特定绩效标准的承诺。
网友评论