CISSPAIO最新读书笔记第1、2章多为了解知识点,读者了解即可,出考题几率很小。第三章信息安全与风险管理1、安全管理包括风险管理、信息安全策略、措施、标准、指导原则、基准、信息分类、安全组织和安全教育。2、安全管理的功能包括确定目标、范围、策略、优先级和战略。管理层的职责是为其负责的资源和整个公司提供保护。这些资源的形式包括人力、资本、硬件与信息。3、制订安全计划应该使用自顶向下的方式。启动、支持和指导来自最高管理层,该计划向下到达中级管理层,然后再到普通职员。无论采用何种形式,安全管理者都需要清晰的报告结构、对职责的理解以及测试和监控功能,以便保证不会由于缺少交流而导致计划流产。4、为了实现管理层的安全指标,应当利用:行政管理性控制、技术性控制、物理性控制。5、行政管理性控制包括:开发和发布策略、标准、措施和指导原则;风险管理;人员的筛查;指导安全意识培训;实现变更控制措施。6、技术性控制(也称为逻辑性控制)包括:实现和维护访问控制机制;密码和资源管理;身份标识和身份验证方法;安全设备;基础设施的配置。7、物理性控制包括:控制个人对设施和不同部门的访问;锁定系统;去除不必要的软驱和光驱;保护设施的周边;检测入侵;环境控制。8、安全规划可以分为3个不同的领域:战略规划、战术规划和操作规划。战略规划可能包含以下目标:◆确保风险被正确理解并得到合理解决;◆保证遵守法律法规;◆使整个组织机构的安全责任一体化;◆建立一个成熟的模型,从而实现持续的完善;◆将安全作为一项业务成就,以吸引更多的客户。操作规划示例:◆执行安全风险评估;◆不允许执行降低生产能力的安全变更;◆维护和实现控制;◆长期扫描脆弱性并提供补丁程序;◆跟踪策略遵守情况。9、COBIT分为4个领域:计划与组织、获取与实现、交付与支持、监控与评估。COBIT的组件包括:执行摘要、管理指导原则、架构、控制目标、实现工具集以及审计指导原则。10、COSO是一个企业治理模型,COBIT是一个IT治理模型。COSO更多面向战略层面,COBIT则更为关注操作层面。从IT角度来看,可以将COBIT视为满足许多COSO目标的一种方式。11、COBIT定义IT目标,ITIL则在过程级别上就如何实现这些目标提供需要采取的步骤。虽然ITIL是一个安全组件,但是它更加关注IT部门与其服务的内部部门之间的内部服务级协议。12、失效模式和影响分析(FMEA)是一种确定功能、标识功能失效并通过结构化过程评估失效原因和失效影...
