安全与风险管理思维导图
安全管理,风险管理,信息安全治理等内容讲解
树图思维导图提供 安全与风险管理 在线思维导图免费制作,点击“编辑”按钮,可对 安全与风险管理 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:a34fbb734b81a77fbbb250f3abfa9062
思维导图大纲
安全与风险管理思维导图模板大纲
1.安全与风险管理基础
信息安全的基础概念
信息的定义
有意义,有价值
信息资产
数据
硬件软件,文档
关键人员
组织内部的服务
信息的生命周期
创建→(使用→存储→传递→更改)→销毁
信息安全基本目标
CIA
机密性,完整性,可用性
信息安全实质
采取措施保护信息资产不受破坏更改及泄露
连续可靠正常运行
安全事件对业务影响减到最小
确保业务连续性
风险管理
风险
信息资产损坏并给企业带来负面影响的可能性
风险管理
识别,评估风险,采取措施
将风险减少到可接受水平
维持风险水平
是信息安全管理的核心
安全控制
控制类型
管理控制
技术控制
物理控制
控制功能
威慑
预防
管理,物理,技术
检测
纠正
恢复
补偿
其他概念和原则
隐私
身份识别
身份验证
授权
可追溯性
抗抵赖
审计
信息安全治理
治理与管理
治理
应有董事会核高基管理者参与
管理层对组织的安全目标进行明确和阐述
与不同部门沟通
授予权利
提供方法来验证安全活动有效性
要有方法能够查看和了解指令是否得到执行
管理
识别风险
采取策略和措施消减风险
监督措施有效性
提升人员安全意识
企业管理控制框架
安全方案
信息安全管理:ISO/IEC 27000
27001标准
PDCA建立ISMS
27002实践,27003指南
企业架构开发
Zachman,TOGAF
DoDAF,MODAF
企业安全架构
SABSA
公司治理
内控管理:COSO
财务报告委员会赞助
有效性和高效性
法案合规性的框架
安全控制
内部控制:COBIT
治理
指导,监控,评价
管理
计划,构建 ,运行,监控
安全控制:NIST 800-53
风险管理:NIST RMF
隐私管理:NIST PRIVACY
流程管理
CMMI
ITIL
Six Sigma
其他
PMBOK,Prince2
ISO9000
ISO38500
ISO22301
安全管理文档
层次性
安全策略
安全策略是事实信息安全的基础
管理层批准后力求所有相关人获知并理解
采用指示文件和培训的方式
一个声明,承诺承担责任
必须遵守,有惩戒机制
构成要素
目标
范围
有效期
所有者
责任
内容
复审
违规处理
参考文件
关键策略
使用策略AUP
远程访问策略
信息保护策略
边界安全策略
病毒保护和预防策略
口令策略
其他策略
可实施和可执行,有稳定性
无技术细节,与支持性文档建立联系
要复审和更新,反映组织变化
标准
指南
基线
最低安全需要,很具体
程序
角色和责任
人尽其事
所有人知道并理解自身角色责任和权力
根据职责分离原则委派安全相关角色
管理层最重要,需为安全规划定好基调
信息安全组织架构
董事会
风险偏好和战略
企业管理层
业绩,关键风险,缓解措施
组织高管
信息安全需要最高管理者支持
明确信息安全目标和策略
规划信息安全,确定目标和优先次序
委派信息安全责任
重大问题做出决策
协调关系,提升促动力
是最终责任人
CISO
确保信息资产得到保护
没有直接可用资源,要依靠其他人
向CIO负责
协调和促动
职责
做预算
确保策略,程序,基线,标准和指南的开发
参与管理会议
协助审计
沟通机制
CEO
减少消息过滤,改善沟通,显示对安全的重视
IT
需要IT支持,IT也需要了解业务需求和成本限制
行政部门
物理安全,人身安全
风险管理部门
风险和控制风险的方法
内审部门
有利益冲突
法务部门
合规性
重要角色和责任
安全委员会
成员
高级管理层
IT管理者
业务和职能负责人
信息安全官
责任
决策并批准安全相关事务,策略,标准,指南和程序
安全管理员
实施,监视并执行安全规定和策略
向安全委员会、信息安全官报告
信息系统审计师
向安全目标管理提供独立保障
其他角色和责任
数据所有者
高层管理者
确定数据分类等级,访问特权
维护数据的正确性和完整性
保管者
保管系统、数据库,网络和系统管理人员
帮助台
接报并确认安全事件,转达以便响应
审计委员会
董事会授权
检查和评估内部运行,系统审计以及财务报告的透明度和精确度
灾难恢复/应急计划人员
与信息安全人员协同工作,取得其他应急计划支持
CIRT
评价安全事件和造成的损害
提供修补系统正确响应
搜集证据
用户
具有应有的安全意识
遵守安全策略AUP
恰当使用信息和系统,通报安全事件
按计划行事
制定计划确保策略执行
自上而下
业务经理或安全专家负责实施安全管理 文件中的指定配置
安全管理计划小组
战略计划定义组织的目标和使命
战术计划是战略计划的细节描述
操作计划是高度细化的计划,每月或每季度更新
培育计划,系统部署计划,产品设计计划
人员安全
人是信息安全的关键因素
管理不善回答来非常大的安全威胁和风险
信息安全事件通常来自于组织内部
出卖给竞争对手
从事经济犯罪活动
误操作
加强内部人员安全管理
背景检查
审查简历中的基本信息,确认 是否存在问题或利益冲突
可防止法律诉讼,雇佣不合格人员以及丧失商业秘密
保密协议
与所有员工签订,应有员工签名并保留副本
明确雇员对信息安全的责任 ,保密要求及违约的法律责任
试用期签订保密承诺
第三方在使用信息之前签订
合同期有更改,应重申保密协议
职责分离
不应有人完全控制一项任务,每个人都会形成检查
开发/生产维护
安全管理/操作/审计
加密秘钥管理/密钥更改
白药分成两个组件
晓组织可采取监督,审计(日志或关键操作有审批)
最小特权
履行职责的最小访问权限(警惕特权蠕变)
工作轮换
不允许某人长时间在固定职位
有利于交叉培训,有利于发现欺诈
强制度假
让某人离开岗位,介入检查
人员离职
往往存在风险
解雇应在恰当时机
使用检查列表,确保返还物品
立即移除访问权限
系统,网络核物理设施的访问权
电话,电子邮箱,Internet账号
通知外部伙伴或客户
外部人员
人员不驻场但有管理员权限
签订保密协议
监控工作行为
身份进行验证
驻场并有管理员权限
人员背景调查
离场收回权限
合同增加保密要求
人员意识
人是安全中最薄弱环节,提高员工对自己行为 负责的能力
微不足道的事也可影响组织安全
雇员要有保护组织的信息资产的意识(短期)
促进安全意识可以减少非授权活动,可以增强保护控制的效率
具有安全遗失的标志
认知可能存在的问题和危害,理解安全所需
明白自身的安全职责,恪守正确的行为方式
方法和途径
交互性的实时的介绍,课程,视频
出版发布物品 ,新闻传单,张贴物,简报,布告栏,Intranet
奖金和赞誉
提醒物
材料应该直接,简单和清楚,易于理解,要有创新和变化
操作者必须经过培训(中期)
传授安全相关的工作技能
信息系统管理和维护人员为对象
一对一课堂形式
安全从业者应该接受教育(长期)
为安全专业人士提供专业技术,通过外部程序实现
成为职业规划的一部分
社会工程
网络钓鱼
多种媒介
电子邮件,网络,面对面,电话,邮局或快递
鱼叉式,捕鲸/网络钓鲸,短信钓鱼,语音网络钓鱼,水坑式钓鱼
肩窥,发票欺诈,恶作剧,假冒和伪装,尾随和捎带,垃圾受孕,身份盗用,误植域名,影响力运动
风险管理
风险管理过程
定义
识别信息资源的脆弱性及威胁
制定相应的对策(高层)
用以实现组织业务目标
风险偏好推动所有风险管理工作
评估
要先发现资产
定义
对信息资产及其价值,面临的威胁,存在的弱点,及三者综合作用而带来风险大小或水平的评估
组织确定信息安全需求的重要途径
属于组织信息安全管理体系策划的过程
任务
识别构成风险的要素
评估风险发生的可能性和造成的影响,并评价风险水平和大小
确定组织承受风险的能力
确定和风险消减和控制的策略,目标和优先顺序
推荐风险消减对策以供实施
评价之前需要确认的指标
风险影响
通过资产价值评估来确定
分级方式根据需要来定
风险可能性
方法
AS/NZS 4360
NIST SP 800-30和800-66
FRAP
OCTAVE
CRAMM
STA
FMEA
定量和定性
定量
试图从数字上对安全风险及其构成因素进行分析评估
对构成风险的各个要素和潜在损失水平赋予数值或货币金额
度量要素
资产价值,威胁频率,弱点利用程度,安全措施的效率和成本
概念
事件发生的频率ARO
威胁事件可能引起的损失SLE
暴露因子EF
年度损失期望ALE
优缺点
优点
建立在独立客观的程序或量化指标之上
成本效益审核提供精确依据,有利于预算决策
量化的资产价值和预期损失易理解
可利用自动化工具帮助分析
缺点
信息计算量大,方法复杂,费时费力
数据可靠性难保证,分析的细化很难
定性
凭借分析者的经验和直觉,或者业界标准和惯例(因人而异)
最为广泛采用,操作相对容易,但结果可能失准
方法
小组讨论
检查列表
问卷
人员访谈
消减
接受及控制
相关要素
资产
对组织具有价值的信息资产
计算机硬件,通讯设施,数据库,文档信息,软件,信息服务,人员
威胁
可能对资产或组织造成损害的潜在原因(外界)
弱点
漏洞或脆弱性
资产或资产组中存在的可被利用的缺点
风险
特定威胁利用资产弱点给资产或资产组带来损害的可能性(考虑时间因素)
可能性
对威胁发生几率或频率的描述
影响
后果,意外事件发生给组织带来的损失或伤害
安全措施
通过防范威胁,减少弱点,限制意外事件的影响来消减风险
残留风险
实施安全措施后仍存在的风险(不存在0风险)
威胁建模
两个观点
漏洞分析
寻找要填充的裂缝
威胁建模
识别潜在的威胁和漏洞
STRIDE
Spoofing假冒
Tampering篡改
Repudiation抵赖
Information Disclousure信息泄露
Denial of Service拒绝服务
Elevation of Privilege提升权限
主动和被动攻击
主动攻击
有意识的潜入目标系统
密码破解,网络钓鱼,拒绝服务攻击DDoS
身份伪装,包重演,消息修改
被动攻击
通过监听或者接货数据流,窃取或者监控目标数据
网络分析,窃听,流量分析(APT长期潜伏)
子主题 3
子主题 4
风险评估
安全审计流程
安全事件管理(SIM)
日志分析
法律法规与职业道德
计算机犯罪
复杂性
调查取证需要专业技术,且证据容易遭到破坏
法律跟不上技术方法
具有跨地域特征(很难定性)
哪些需要保护到什么程度很难定义
内部人员实施犯罪比率高
受害机构有时不报案
APT攻击
可能潜伏在用户环境一年或更久知道掌握目标人,事务
实质是恶意商业间谍威胁
法律体系
普通法系:英美法系,海洋法系
遵循先例
美国,英格兰,威尔士,爱尔兰,前英国殖民地,香港
大陆法系,成文法为主:欧洲大陆,日本,中国
习惯性法系:行为规范的综合,介于道德与法律之间的准法规范
宗教法律体系:宗教荥阳为主,立法者和学者试图发现法律的真理
法律分类
刑法
刑法和形式诉讼程序的法律体系
针对危害国家安全,侵害人民权力,破坏社会秩序
保护国家利益和社会秩序
出发通常是监禁
民法
民法是保障私人民事关系的法律体系
规定了个人之间的私人关系,民事纠纷的处理方式
处罚是经济赔偿
包括民法总则,物权法,合同法,侵权责任法
通过指定和执行合理的法律规则,维护公众的合法权益,促进社会发展和进步
知识产权
商业秘密
公司付出了相当的资源和阻力开发的
产品配方
版权
不保护作品的创意,只保护创意的表现形式
文学作品,歌曲旋律,绘画以及程序代码
商标
公司形象的单词,名称,符号,形状,声音,颜色或其组合
通常在商标注册保护机构进行了注册
专利
有效期20年
药品配方和加密算法
软件盗版
使用或者复制未得到作者许可
侵害他人所有权
按民法或者刑法被指控,或者两者都有
种类
自由软件
公众可以免费试用的软件,能够不受限制
共享软件
获得软件的免费试用版
商业软件
为商业目的而销售或提供的软件
学术软件
不允许商用
子主题 5
隐私
个人可识别信息
唯一识别,联系或者定位一个人或者可以和他资源一起用来唯一识别某一个体的数据
全称,国家身份号码,IP地址,车牌号,驾照号码,脸指纹或笔迹,信用卡号码,数字身份,生日,出生地,遗传信息
边境不在存在
各国出于不同原因交换私有数据
收集,挖掘,分发敏感信息
OECD
收集限制原则:最好的保护用户数据
数据质量原则:个人信息必须在利用目的范围内保持正确,完整及最新状态
使用限制原则:个人数据不应该被公开,挪作他用或以其他方式使用。有数据主体的同意或有法律授权除外
安全保障原则:保护个人数据
公开原则:使用的主要用途,以及身份和数据控制器通常居住的方法应随时可用
个人参与原则:可以要求进行数据擦除,调整或修订
问责原则:数据控制着应该有责任遵守落实上述原则的措施
数据泄露
事故
泄密
导致数据泄密或可能失窃的安全事故
数据泄露
导致数据泄露到未授权的第三方
严重事件发生后,会启动Breach的调查,确认是否发生Date Disclosure
事件记录和事件共享词汇叙述谁对什么或谁做了什么带来什么结果
相关法律
HIPPA
GLBA
COPPA
FERPA
保护学生的个人雁阵信息PII的安全,嘘声家长或符合条件的学生他的书面允许才可发布学生个人信息
PIPEDA
个人信息保护法
GDPR
作为一项欧盟条件,GDPR的权利高于其他成员国的法律
适用于完全或部分通过自动化方式处理个人数据,以及其他方式处理个人数据
个人数据
匿名化
匿名化的数据不再是个人数据
数据控制者
决定处理个人数据的目的和将进行何种处理的组织
数据处理者
代表控制者处理个人信息的组织或机构
DPO(数据保护官)
具有数据保护法律和时间的专家,应直接向最高管理层报告,应具有独立性
监管机构(SA)
监管机构是每个成员国的政府组织,在成员国设立能够完全独立的旅行义务并形式职权
DPIA(数据保护影响评估)
当数据处理方式,尤其是使用新技术的处理方式可能对自然人的权力和自由造成高风险时,控制者应在处理之前,就预期处理对个人数据保护的影响和评估
数据泄露通知
通知监管机构(72H)
通知数据主体
个人数据跨境传输
充分性认定的国家
BCR有约束力的企业规则
处理个人数据的原则
合法公平和透明,目的限制,数据最小化,准确性,存储限制,完整性与机密性
数据主体的权力
获取权,修正权,删除权(被遗忘权),限制处理,可携权,反对权,
符合性
知道组织需要符合什么样的法律和法规固然重要,同样重要的是要知道如何恰当的确保遵守法律法规,以及如何正确的想必要的利益相关者达这些法律法规
应制定一个符合性计划,明确需要部署些什么来满足必要的内部和外部的驱动,然后一个审计团队将评估该组织在满足一致需求方面做的如何
第一步是了解组织需要符合什么样的法律法规,这有助于确定需要遵循的控制目标标准
然后需要决定风险评估方法论,法律法规的要求将有助于确定需要遵循的控制目标标准
一旦这些被建立起来并落实到位,审计师也就有东西可以审核了
义务及后果
Due Care应尽关心(高层)
尽职关注,应尽关注,应尽关心,适度关注,适度审慎
Due Diligence应尽审查(工作人员)
尽职调查,尽职审查,尽职勤勉,适度勤勉,恪尽职守
Code of Ethics
保护社会,公共利益与基础设施,赢得必要的公共信心与信任
行事端正,诚实,公正,负责,守法
为委托人提供勤奋,胜任的服务
推动行业发展,维护职业声誉
BCP
概述
BCP概述
每5家会有2家在5年内会完全退出市场
企业当且仅当在灾难前或灾难后采取了必要措施后可改变这种状况
持续的生存性
灾难
突发的,导致重大损失
自然的,系统/技术的,供应系统,人为的,政治的
关键业务功能在一定时间内无法进行的事件都被是为灾难
灾难恢复
BCP文件
BCP目的
针对紧急情况采取及时和恰当的相应
保护生命并确保安全
减少业务影响
恢复关键业务功能
在恢复期间与外部厂商和伙伴合作
在危险期间减少混乱
确保业务的存活
在灾难后快速恢复
BCP标准和最佳实践
NIST SP 800-34
制定连续性计划政策声明
进行业务影响分析BIA
预定预防控制措施
制定恢复策略
ISO/IEC 22301,取代BS25999
ISO/IEC 27031
与其他体系的关系
与机构的业务目标一致,是整体业务决策的一部分
是机构安全项目,与安全项目的其他内容相协调
BCP启动
确定BCP需求,可以包括与针对性的风险分析,以识别关键系统
了解相关法律,法规,行业规范以及机构的业务和技术规划的要求,确保BCP与其一致
任命BCP项目协调人以及来自业务和技术部门的代表组陈BCP团队
制定项目挂历计划书,其中应明确项目范围,目标,方法,责任,任务及其进度
高层领导应召开正式的覆盖范围大的项目启动会以显示高层的支持
意识提升活动可以让员工了解BCP鲜蘑菇并建立来自内部的支持
为支持BCP成功二十时必要的BCP技能培训
项目人员
BCP项目负责人
负责规划,准备,培训等各项工作
计划的开发团队与管理层的沟通和联络
有权与计划相关所有人员进行直接接触和沟通
中断对机构业务的影响
机构的需求和运作,有能力平衡机构中相关部门的不同需求
比较容易接触到高级管理层
了解机构的业务方向和高层管理层的意图
有能力影响高级管理层的决策
关键角色
业务部门
IT部门
提供专业指导和建议
信息安全部门
法律部门
通信部门
项目范围
BCP需要解决来自组织高层的需求
评估资源如何分配给BCP
在风险评估和制定连续性计划之前确定业务的重点和方向
组织业务的增长,重组和下滑
不一定能还原所有业务
其他诸如人员水平的变更,设备的迁移,新供应以及新技术,产品或流程的引入等
需要理解整个组织的需求
策略
提供BCP的框架以及设计和建设CP的治理
规划最终应该形成业务连续性策略条款
目的,范围和需求
基本原则和指导
职责和责任
关键环节的基本要求
策略条款应得到高级管理层的正式批准,并公布成为机构的政策,知道机构业务连续性相关工作
业务影响分析BIA
用以识别可能会在灾难中造成重大损失或运营中断的区域
分析所有灾难发生的可能性以及灾难带来的潜在影响和损失,以及当这些灾难发生时该如何应对
定量分析
货币的方式得出事件造成的影响
定性分析
严重程度得出事件造成的影响
目的
过程
问卷设计
信息分析
确定最大允许中断时间
技术指标AIO9
最大可容忍中断时间MTD
恢复时间目标RTO
工作恢复时间WRT
回复点目标RPO
相互关联和相互依存
组织的结构非常复杂,在开发BCP计划时必须考虑计划之间关系
确定重要的业务功能和支持部门
识别业务功能和部门之间的依存关系
发现所有可能影响这些业务功能和部门之间的联合机制的破坏
识别和记录可能导致部门间通信中断潜在威胁
支持资源的确定
确定关键功能的所有支持资源,资源的使用时间段,缺少该资源对功能的影响以及资源之间的依赖关系
应该建立应急计划团队来确定资源对关键功能的支持情况
业务组,设施管理组,信息技术管理组,其他组
种类
人类资源,处理能力,基于计算机的服务,自动化应用和数据,物理基础设施,文档和票据
管理层和BCP团队的职责
管理层
绝对支持BCP
设置策略和目标
提供必要的资源和资金
对BCP开发的结果负责
制定团队支持工作
BCP团队
识别必须符合的法律法规要求
识别所有可能的弱点和威胁
评估这些威胁的可能性和潜在损失
实施BIA
指出那些部门,系统以及流程必须在其他之前启动和运行
识别部门和流程间的依存关系
开发在灾难后恢复业务的程序
相关思维导图模板
树图思维导图提供 蛋白质的结构与功能 在线思维导图免费制作,点击“编辑”按钮,可对 蛋白质的结构与功能 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:f997bcf64e628c86745c2cc0dee55595
树图思维导图提供 《复盘教练》要点总结 在线思维导图免费制作,点击“编辑”按钮,可对 《复盘教练》要点总结 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:87a17f27e4ba6f3a9ccaf2464f730c9d
沪公网安备 31011502019485号
上海工商