CBK1 信息安全治理和风险控制主要内容n安全术语和原则n保护控制类型n安全框架、模型、标准和最佳实践n安全企业架构n风险管理n安全文档n信息分类和保护n安全意识培训n安全治理0 关于安全和组织目标n企业的目的是赚钱;非盈利组织为提供特定服务?都不是为了安全策略n组织面临的挑战?盗取企业客户数据进行身份欺诈?公司机密被外部和内部实体窃取,从事经济间谍活动?系统被劫持用作僵尸网络,发送垃圾邮件和DDoS攻击?公司资金被跨国有组织犯罪秘密抽取?企业网站和系统被不断攻击而无法提供服务n企业需要实践大量安全规则才能维护市场份额、保护顾客和底线、远离法律责任、销售产品1.1 安全基本原则n安全的核心目标,是为关键资产提供可用性、完整性和机密性 (AIC三元组)?每项资产所需的保护级别不同?所有安全控制、机制和防护措施的实现都是为AIC中的一个或多个?衡量所有风险、威胁和脆弱性,以其中平衡一个或多个原则可用性
安全对象
完整性
机密性
1.1.1 可用性 Availabilityn确保授权用户能够对资源进行及时和可靠的访问?网络设计、计算机和应用程序提供充分功能,以可接受的性能级别和可预计的方式访问?快速和安全的方式从崩溃中恢复?必要的保护措施消除内部或外部威胁,以免影响业务的可用性和效率n可用性威胁?网络威胁l路由器、交换机、DNS服务器、DHCP服务器、代理,防火墙等?系统威胁l硬件故障,软件漏洞?物理和环境威胁l大火、洪水、HVAC、电力、潜在自然灾害、物理偷窃
