CISM（信息安全经理）知识点整理（二）

1、暴露、漏洞、后果、威胁与风险

暴露：EF，是指可能因负面事件而发生损失的量化可能性，一般以百分比算。

威胁：对资产造成伤害的任何事物。

漏洞：弱点/脆弱性，指由于设计、实施、操作或内部控制不当而导致的弱点。

后果：影响，衡量安全事件造成损失的程度。

风险=威胁利用漏洞的可能性*后果

影响小或无影响的风险即使发生概率高亦不受关注。

信息安全政策的制定应主要基于威胁。

2、风险管理流程

确立范围和边界；确定信息资产及估值；执行风险评估；确定风险处置或应对措施；接受残余风险；沟通风险相关信息并监控风险。

风险处置方案有：缓解、接受（尽量避免选择接受风险）、避免（停止或终止业务活动）和转移（外包给第三方或买保险，只能转移财产责任，不转移法律责任）。

3、风险评估

风险评估三阶段：

① 风险识别（资产识别，判别对资产造成损害的任何事物；必要步骤：确保信息资产清单完整并且已识别每项资产的位置）、

风险识别可从上而下，也可从下而上，两者各有优势。自下而上的方式员工配合度比较高，自上而下的方式与业务目标紧密结合。

②风险分析（对业务的影响价值决定资产重要程度）

风险分析方法：德尔菲法（使用专家意见，做问卷调查）；事件树分析（一种自底而上的模型）；故障树分析（自上而下）。

③ 风险评价（使用定量定性方法）。

在风险被识别、分析和评估之后，安全经理汇总后上报管理层，由管理层决定如何做，安全经理负责执行。

如果因为风险超过了组织的风险偏好而选择缓解控制措施，那么必须评估缓解方案和成本效益。

4、聚合风险和级联风险

聚合风险：多个风险聚合会造成重大影响

级联风险：一个故障导致一连串故障反应，A风险导致B风险

5、任何安全事件都可以归咎于控制失效或缺少控制。

6、定量与定性

定量是用钱来衡量，比较直观，有历史数据支撑，有一定主观性。

定性无法用金钱衡量，用分数衡量，不太准确。

7、RTO、RPO、SDO和MTO

RTO（恢复时间目标）：

所能容忍的业务停止服务的最长时间。

它通常被定义为恢复到可接受水平的正常运营所需要的时间量。可接受水平由服务交付目标定义。

RTO的确定方法是通过执行BIA并协同制定BCP。

时间越短，表明系统越重要。

RPO（恢复点目标）：

指业务系统所能容忍的数据丢失量。

RPO是根据运营中断时可接受的数据丢失量确定的。它表示可接受的恢复数据的最近时间点。

越小越好，越短越贵，越短也将要求越多的资源。

有可能因为恢复大量数据所需时间太长而无法实现RTO。

SDO（服务交付目标）：事件发生后必须恢复的最低服务等级。

MTO（可承受的最长中断时间）：组织恢复运营的最长时间。

MTO=RTO（恢复系统服务，暂不提供100%服务）+WRT（工作恢复时间，CISSP中的概念）

8、冷站、温站和热站

冷站：只提供基本的水电煤，无网线，无人。

温站：除了水电煤，还有简陋的硬件设备，无人。

热战：所有硬件设备都有，成本高，有人。

建那个取决于成本，由高层决策。

9、系统或流程变更可能引入新的风险。

变更管理与全生命周期捆绑。

任何变更管理都要符合流程。

10、风险管理要在系统开发生命周期的全阶段（或者设计）执行。

11、风险分析与业务影响分析的区别

风险分析是用于评估风险发生的频率和影响程度的流程。

业务影响分析主要关联指标是RPO与RTO，指灾难发生后如何评估系统和数据的恢复优秀级，和允许恢复的时间量。

12、 对离岸业务和跨境业务的开展，先进行风险评估，以确定法律法规或者其他外包流程是否引入新的风险，随后再进行对应的风险处置手段。

13、四大风险

内在风险：不易受控的，内外部底层因素的风险。

系统性风险：因系统相互依存导致的系统崩溃的风险。

残余风险：实施控制对策后仍残余的风险。

运营风险：内外部运营造成的风险。

14、控制措施的区别

预防性控制措施：访问控制、验证机制和加密机制、安全意识培训

制止性控制措施（制止威胁或降低威胁）：警告标语、IPS

检测性控制措施（检测入侵/非法访问）：IDS、审计日志、报警系统

改正性控制措施（弥补）：BCP、DRP、事故响应

15、信息安全计划三要素

计划必须贯彻与组织目标高度一致并支持组织目标的制定完善的信息安全战略。

计划必须设计周全且得到管理层和利益相关方的支持与协作。

针对计划设计和实施阶段以及后续的安全计划持续管理阶段，必须制定有效的指标，以提供必要的反馈来指导计划执行，从而取得所定义的后果。

16、信息安全计划目标是以最具成本效益的方式实施战略，同时最大限度地提高对业务职能部门的支持并降低运营中断。

17、受影响的部门将最清楚相关法律和监管问题。

18、 BCP目标包括事故预防和缓解，而DRP侧重于在事故已发生之后必须采取什么行动来恢复操作。BCP可被看作是持续的流程，在业务照常运作的情景下积极实施，而DRP在本质上是被动的。

19、证据要求

无论使用哪种程序来保护受损系统，经过培训的人员必须使用取证工具来对硬盘驱动器和其他介质上可能存在的任何证据进行逐比特复制。

原始介质必须保持不变，并保留对监管人员（监管链）的记录，以便证据达到法庭采信的水平。

在获取硬盘驱动器的副本时，技术人员应该使用具有写保护二极管的电缆对驱动器上的所有数据获取位级映像。