返回
CISA高分考生复习笔记知识要点

CISA高分考生复习笔记知识要点

ID:39547716

大小:91.00 KB

页数:12页

时间:2019-07-06

CISA高分考生复习笔记知识要点_第1页
CISA高分考生复习笔记知识要点_第2页
CISA高分考生复习笔记知识要点_第3页
CISA高分考生复习笔记知识要点_第4页
CISA高分考生复习笔记知识要点_第5页
资源描述:

《CISA高分考生复习笔记知识要点》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、TASKSTATEMENTS1.评估逻辑访问控制的设计,部署和监控,以确保信息资产的CIA2.评估networkinfrastructure的安全性3.评估环境控制4.评估物理访问控制5.评估存储,retrieve,传递和处理机密信息资产的过程和流程KnowledgeSTATEMENTS1.安全的设计,部署和监控的技术2.逻辑访问控制3.逻辑访问架构(SSO,用户识别,身份管理)4.攻击手段和技术5.安全事件响应6.挽留过和internet安全设别,协议和技术:SSL,SET,VPN,NAT7.IDS,IPS,Firewall的部署,操作,配置和维护8.加密算法

2、技术,9.PKI10.病毒检测工具和控制技术11.安全测试和评估工具12.环境保护实践和设备13.物理安全系统和实践14.VoIP15.机密信息资产的生命周期保护16.手动,无线设备的控制和相关风险。信息安全管理的重要性1.信息安全的目标CIA一、信息安全管理的关键要素1.IS安全不仅仅是一种机制,同样反应的是企业的文化。Ø高层支持Ø策略和流程Ø组织Ø安全意识和交易Ø监控和合规性Ø事件处理和响应二、信息安全管理角色和职责1.ISsecuritysteeringcommittee:不同管理层的人员足赤回忆2.Eexcutivemanagement:对信息资产保护、

3、发布和维护信息安全策略框架负责1.securityadvisorgroup:需要由bussiness人员设计,检查组织的安全计划,想CSO提供安全建议,以及向业务部门沟通安全项目是否符合业务需要2.CPO首席隐私官3.CISO首席信息安全官4.processowner:确保适当的安全措施与机构的策略一致,并得到维护5.informationassetownersanddataowner:6.users7.externalparties8.securityadministrator:staff级别的而为之,提供适当的物理和逻辑安全项目9.securityspeci

4、alists、advisor10.ITdevelopers11.ISauditor:独立性assurance一、信息资产的目录和分级1.信息资产分级将安全与业务目标有效结合起来,减少风险,节省成本2.classification应该根据机构规模尽量简化。3.data是核心的信息资产,dataclassification应该定义:ØownerØaccessrights(needtoknow)ØlevelofaccesstobegrantedØ决定访问权限和级别的人Ø谁审批访问需求Ø安全控制的范围和深度4.数据分级应该考虑CIA,还有隐私和合规等事务。二、Syste

5、maccesspermission1.物理或逻辑系统访问应该基于一个书面的NEED-TO-KNOW的基础,这个基础是基于最小授权和职权分离的合法的业务需求。2.逻辑安全下的信息技术资产可以分为:networks,platforms,databases和applications3.信息owner应该书面授权对信息的访问4.对访问的授权情况应该定期检查,检查应该与HR流程结合。5.非组织雇员的访问活动同样需要合规性控制三、MAC,DAC1.MACs强制访问控制:缺省实施,不受用户或者dataowner的控制2.DACs可以由用户或者dataowner来配置和更改3.

6、MAC比较的是信息资源的sensitivity和访问实体的securityclearance安全许可。MACs是禁止性的prohibitive,任何没有例外管理的都要禁止。只有管理员可以更改。4.DACs,dataowner决定访问权限,DACs不允许超越MACs。5.四、隐私管理事务,IS审计师的角色1.privacy必须从一开始就要进行关注,执行privacyimpactanalysis2.IS审计师为管理成的隐私合规提供合理保证Ø识别理解合规要求Ø检查个人数据的管理合规性Ø验证是否采用恰当的安全措施Ø检查管理层的隐私策略。一、信息安全管理的关键成功因子1.

7、管理层对安全培训的有力支持2.基于风险的资产识别、风险评估二、信息安全和外部parties1.对customer,thirdparty等的控制2.为防止未授权访问,所有打印的文档必须在站访问3.建立DRMdigitalrightsmanagement来限制对文档的复制,打印等4.若信息安全管理外包,则相关协议应该定义第三方如何保证安全要求。5.要考虑第三方无法提供服务时的应急处理(replacementserives)三、HR安全和thirdparties1.通过恰当的jobdescription来落实安全责任2.入职调查3.基于安全角色签订协议,含保密协议等4

8、.根据公司安全策略来书面

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。