Mr.Bank

CISSP之信息安全和风险管理-复习资料下载

CISSP之信息安全和风险管理-复习资料下载

信息安全和风险管理
(Information Security and Risk Management)
本章学习如下内容:
安全管理职责(Security management responsibilities)
管理、技术和物理控制之间的区别
安全三要素(Three main security principles)
风险管理和风险分析(Risk management and risk analysis)
安全策略(Security policies)
信息分级(Information classification)
安全教育培训(Security-awareness training)

安全管理是公司计算机和信息安全的核心内容
安全管理(Security Management)
安全管理包括风险管理、信息安全策略、规程、标准、基线、信息分级、安全组织和安全教育。
安全管理过程是一个循环过程:一是风险评估和需求确定;二是对对相关系统和行为的监控、教育;三是提高安全意识;最后是针对第一步确定的风险和需求实施策略和控制措施。如此循环往复。
1、安全管理职责(Security Management Responsibilities)
管理的功能包括决定目标、范围、方针、优先级和战略。
安全需要得到最高管理层的重视,IT管理者可以就安全问题与其商议,但是公司的安全却不是她能解决的问题
安全管理的职责是为其负责的资源和整个公司提供保护
2、自顶向下的方法(The Top-Down Approach to Security)
构建安全体系如同盖房,需要用字上向下的方法,就是指创意、支持、命令都要来自于最高管理层,该计划向下进行到中级管理层,然后再普及到员工。


评论

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注