CISSP All-in-One(二十三)
信息安全和风险管理
安全基本原则 CIA
安全框架
ISO/IEC 27000系列
ISO/IEC 27000系列
ISO/IEC 27000 系列是国际标准化组织(ISO)和国际电工委员会(IEC)联合制定的一系列信息安全管理标准。这个系列标准主要涵盖了信息安全管理体系的建立、实施、维护和持续改进,以保护组织的信息资产免受各种威胁和风险的侵害。以下是 ISO/IEC 27000 系列的一些核心标准:
- ISO/IEC 27001:信息安全管理系统要求(Information Security Management System - Requirements)。
- ISO/IEC 27002:信息安全管理实践指南(Code of Practice for Information Security Controls)。
- ISO/IEC 27003:信息安全管理系统实施指南(Information Security Management System Implementation Guidance)。
- ISO/IEC 27004:信息安全管理测量和度量框架(Information Security Management Measurement and Metrics Framework)。
- ISO/IEC 27005:信息安全风险管理指南(Information Security Risk Management Guidance)。
除了上述核心标准外,ISO/IEC 27000 系列还包括其他补充标准和指南,涵盖了信息安全的不同方面,如隐私保护、供应链安全等。这些标准可以帮助组织建立和维护有效的信息安全管理体系,以确保信息资产得到适当的保护并遵循国际最佳实践。
ISO/IEC 27799
ISO/IEC 27799 是国际标准化组织(ISO)和国际电工委员会(IEC)联合制定的一项标准,它的全名是 “ISO/IEC 27799:2008 Health informatics - Information security management in health using ISO/IEC 27002”。这个标准关注于医疗卫生领域中的信息安全管理,基于 ISO/IEC 27002 标准,它是信息安全控制的实施指南。
ISO/IEC 27799 旨在帮助医疗机构和卫生领域的相关实体制定和实施有效的信息安全管理体系,以确保医疗数据、患者隐私和其他敏感信息的保护。这项标准提供了适用于医疗卫生领域的信息安全管理指导,以便这些组织能够根据其特定需求和风险来建立合适的安全控制。
总之,ISO/IEC 27799 在医疗卫生领域中对信息安全的管理提供了指导,以确保患者和医疗数据的保密性、完整性和可用性。
NIST 800-30
NIST SP 800-30(National Institute of Standards and Technology Special Publication 800-30)是美国国家标准与技术研究院(NIST)发布的一份特别出版物,标题为 “Guide for Conducting Risk Assessments”(风险评估指南)。它是关于信息安全风险评估的指南,旨在帮助组织识别、评估和管理其信息系统和数据面临的风险。
NIST 800-30 提供了有关风险评估方法、流程和步骤的详细指导,以帮助组织在信息系统和数据的生命周期内识别潜在的威胁、漏洞和风险,然后评估这些风险的严重性和可能性。这有助于组织制定合适的风险管理策略和控制措施,以减轻或消除潜在的安全威胁。
总之,NIST SP 800-30 提供了关于如何进行信息安全风险评估的详细指导,对于那些希望建立有效风险管理实践的组织是一个有用的参考资源。
Six Sigma
Six Sigma(六西格玛)是一种质量管理和过程改进方法,旨在通过减少变异性和缺陷,提高产品和服务的质量和一致性。它是一种系统性的方法,结合了统计分析、数据驱动的方法和项目管理,以实现组织内的高质量和高效率。
“六西格玛” 这个术语来源于统计学中的一个标准差符号,它代表着一种在正态分布曲线上测量变异性的方式。在 Six Sigma 方法中,目标是使过程的变异性尽量接近于零,以减少缺陷和不一致性。通常,Six Sigma 的目标是将产品或过程的缺陷率降低到每百万次机会发生不到几次,即缺陷率低于 3.4 个每百万。
Six Sigma 的实施通常涉及以下步骤:
定义(Define):确定项目的范围、目标和关键绩效指标。
测量(Measure):收集和分析数据,以了解当前过程的性能和问题。
分析(Analyse):通过统计分析等方法,识别导致问题和变异性的根本原因。
改进(Improve):开发和实施解决方案,以减少变异性并改善过程。
控制(Control):实施控制措施,确保改进的结果得以持续,并监控过程的性能。
Six Sigma 可以应用于各种行业和领域,其核心理念是通过数据驱动的方法和持续改进,实现组织的质量提升、效率提高和成本降低。
OCTAVE
OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation)是一种信息安全风险评估方法,旨在帮助组织识别和管理其面临的信息安全风险。OCTAVE最初由美国卡内基梅隆大学的软件工程研究中心开发,用于评估组织的信息系统和数据的风险。
OCTAVE方法的核心思想是将风险评估与实际业务需求紧密结合,以更好地理解和应对风险。它侧重于通过合作和合作的方式,由组织内部的参与者共同分析和评估风险,而不仅仅是由专业的安全团队来完成。这有助于获得更全面、实际和准确的风险评估结果。
OCTAVE方法通常涉及以下步骤:
风险识别:识别组织内的资产、威胁和漏洞。
风险评估:评估潜在风险的严重性和可能性。
风险管理策略:确定适当的风险管理措施和策略。
风险管理实施:实施风险管理措施以降低风险。
监控和改进:定期监控风险状况,并根据需要进行调整和改进。
OCTAVE方法强调整体的风险管理方法,促进了业务和安全团队之间的合作,以确保风险评估和管理与组织的战略目标和实际情况相符。
AS/NZS
AS/NZS 是澳大利亚和新西兰标准的缩写,代表了这两个国家联合发布的标准。它表示澳大利亚标准(Australian Standard,AS)和新西兰标准(New Zealand Standard,NZS)之间的协调和合作。这些标准通常是一种规范性文档,用于指导和规范各种产品、服务、过程、技术和实践。
AS/NZS 标准由澳大利亚标准协会(Standards Australia)和新西兰标准协会(Standards New Zealand)合作制定和发布。这种合作可以确保两个国家之间的标准在相关领域内保持一致,促进贸易和合作,并避免在相似领域内存在不必要的差异。
AS/NZS 标准广泛涵盖了各种领域,包括但不限于工程、建筑、电子、信息技术、环境、食品安全、安全管理、质量控制等。这些标准对于确保产品和服务的质量、安全性和可靠性,以及维护行业最佳实践和合规性非常重要。
COSO
COSO,即“内部控制集成框架”(Committee of Sponsoring Organizations of the Treadway Commission),是一个由私人部门组织联合制定的框架,用于指导组织设计、实施和评估内部控制,以支持风险管理和业务目标的实现。
COSO框架的目标是帮助组织确保有效的内部控制体系,以防范风险、保护资产、促进合规性,以及实现业务目标。COSO框架强调内部控制的五个组成要素:
- 控制环境:涉及组织的价值观、道德标准、领导和员工的行为,以及对内部控制的重视程度。
- 风险评估:包括识别和评估可能影响业务目标实现的风险。
- 控制活动:涉及组织实施的具体控制措施,以应对风险并实现业务目标。
- 信息与沟通:确保关键信息能够传达给适当的人员,以便他们能够履行其内部控制职责。
- 监督:包括监控内部控制体系的有效性,并及时调整和改进。
COSO框架被广泛用于组织的风险管理、内部审计、合规性和治理方面。它提供了一个共同的语言和方法,帮助组织评估其内部控制的有效性,从而提高风险管理和业务运营的可靠性和可持续性。
Delphi技术
Delphi技术是一种用于达成共识、预测和意见征集的定性研究方法。它是一种匿名、迭代和交互式的过程,旨在从一组专家中获取有关特定问题的意见和判断。Delphi技术通常用于处理复杂和不确定的问题,特别是在领域内缺乏一致性意见的情况下。
Delphi技术的主要步骤包括:
起始调查:研究者选择一个专家组,并向他们发送关于问题的调查问卷。这个问题可以是开放性的,也可以是针对特定主题的。
采集意见:专家被要求在调查问卷中提供他们的意见、判断和预测。他们可以在匿名的情况下自由表达自己的观点。
汇总和反馈:研究者收集所有专家的意见,汇总它们并将它们呈现给专家组。这种反馈可能会显示出专家之间的意见分歧或共识。
重新征询:在看到其他专家的意见后,每位专家可以重新调整自己的意见,并提供新的判断。这个过程可以迭代多次,直到达到一致意见或达成共识。
收敛意见:经过多轮征询和反馈,专家的意见可能会逐渐收敛,达到一致性或相对一致的意见。
Delphi技术的优点包括允许匿名性、专家之间的交互作用、解决专家之间的意见分歧以及提供一种对不确定性问题进行预测和决策的方法。然而,它也可能受到专家选择、反馈偏见和组织动态的影响。因此,在使用Delphi技术时,研究者需要谨慎设计和执行,以确保结果的准确性和可靠性。
“Threats” 和 “risks”
“Threats” 和 “risks” 是风险管理中两个相关但不同的概念:
**威胁 (Threats)**:威胁指的是可能导致负面影响的潜在事件、情况或行为。它是可能造成损害、问题或不良后果的源头。威胁可能是有意的(例如,恶意攻击)或无意的(例如,自然灾害)。威胁是指外部或内部环境中存在的可能性,可能导致风险实现。
**风险 (Risks)**:风险是指在特定情况下,由于威胁的存在,可能导致负面影响或损失的可能性。风险是威胁与其对组织、项目、资产或目标的潜在影响之间的关系。风险通常由威胁的潜在影响、发生概率以及已经采取的防范和控制措施来确定。
简而言之,威胁是潜在的危险源,而风险是在考虑潜在影响、可能性和已采取措施的基础上评估的概率。在风险管理过程中,识别威胁有助于评估风险,并制定相应的风险应对策略。
威胁自身本身存在的, 风险要经过cissp对自身承受能力考量后才认为是风险
[17/38]练习题测试结果
正确率 17/38
- 谁有责任对信息分级?
C. 所有者
【C】2. 不同级别的用户组需要访问相同的信息,应该采取什么行为?
If different user groups with different security access levels need to access the same information, which of the following actions should management take?
如果不同的用户组具有不同的安全访问级别需要访问相同的信息,管理层应该采取以下哪项措施?
B. 要求每次都具体写下的授权,一个人需要访问的信息
C. Increase the security controls on the information.加强信息的安全控制。
- 管理最需要考虑的是什么,当分级数据的时候?
B. 可用性,完整性,机密性
【D】4. 谁对数据分级和受保护有最大的责任?
C. Administrators
D. Management
“Administrators” 和 “management” 之间有一些区别:
“Administrators”(管理员)是指负责特定系统、应用程序或资源的操作、维护和管理的人员。他们通常拥有更高的权限,可以进行配置、设置和监控系统,以确保其正常运行并满足业务需求。
“Management”(管理层)是指组织或企业中的领导团队,他们负责制定战略、决策、资源分配和监督各项业务活动。管理层的职责包括规划、组织、领导和控制,以确保整个组织顺利运营并实现目标。
在信息安全的上下文中,”administrators” 可能是系统管理员、网络管理员等,负责确保系统和网络的安全性和稳定性。而 “management” 则可能是高级领导层,需要关注整体的安全战略、政策和决策,以保护组织的敏感信息和资产。
【A】5. 在组织中,保证安全性是成功的,哪个因素是最重要的?
A. 高管支持
B. 有效性控制和实施方法
C. 更新和相关安全策略和程序
D. 所有员工的安全意识
B. 有效的控制和实施方法
【D】6. 什么时候是可接受的,识别了风险但没有行动?
A. Never从不。好的安全减少所有的风险
D. 当安全对策的成本超过了资产的价值和潜在损失时
。when the cost of the countermeasure outweighs the value of the asset and potential loss.
【B】7. 当确定安全控制是否应该实施的时候,什么是最有效的方法?
A. 风险分析
B. 花费/收益分析
C. ALE结果
D. 识别脆弱性和威胁导致的风险
A. 风险分析
- ALE计算是什么?
D. 评估在一年中潜在的风险损失
【C】9. 安全功能定义了安全机制的预期活动,而保证性定义了以下哪项内容?
The security functionality defines the expected activities of a security mechanism, and assurance
defines which of the following?
A. 安全机制将强制执行
C. 安全机制所提供的信任度
The confidence of the security the mechanism is providing
安全机制所提供的信任度是指人们对于该安全机制有效性、可靠性以及其能够达到其预期目标的信任程度。这包括了对于安全机制能否有效地防御潜在威胁、保护敏感数据和系统免受攻击的信心。
当人们认为一个安全机制具有较高的信任度时,他们更有可能依赖和使用该机制来保护信息和系统。信任度的提高通常与机制的安全性、可审计性、可靠性以及对各种威胁和攻击类型的适应能力有关。
因此,建立和维护高信任度的安全机制对于确保信息和系统的安全性至关重要。这需要透明的设计、详尽的测试和验证,并持续监控和更新,以保持其有效性并应对不断变化的威胁环境。
【D】10. 你如何计算残余风险?
A. 威胁 x 风险 x 资产价格
D. (威胁 x 脆弱性 x 资产价值) x 控制差距
“Controls gap” 指的是在信息安全或风险管理方面,存在于实际控制措施与所需或预期的控制之间的差距。换句话说,这是指组织实际采用的安全措施与其应该采用的最佳实践或法规要求之间的不一致或缺失。
这种差距可能是由于资源不足、管理不善、技术限制、意识不足等原因造成的。解决控制缺口通常需要对现有的安全措施进行评估,识别差距,并采取适当的步骤来填补这些缺口,以确保组织的信息和资产得到适当的保护。
- 为什么风险分析应该由不同的部分的人组成一支队伍?
C.
【C】12. 定量风险分析?
A. 一个基于方案的分析,来研究不同的安全威胁
B. 一种方法,应对不同严重等级的潜在损失,损失的可能性和风险
C. 一种方法,在风险评估中给组件们分配货币价值
D. 一种方法,基于直觉和观点
【D】13. 为什么真的定量风险分析不可能真的实现?
A. 可以实现,这就是为什么使用它的原因。
B. 它分配严重性级别。因此,很难将其转化为货币价值
C. 它处理的是纯粹的数量元素
D. 必须对定性因素应用定量方法。
在风险分析中,团队尝试预测未来和未来所有的风险。这很难预测洪水会在十年内发生并且带来40,000美元的损失,但是这就是定量分析尝试去做的事情。
必须对定性因素应用定量方法。这句话怎么理解?
这句话的含义是,对于原本是定性的因素或要素,需要使用定量的方法来进行测量、评估或分析。定性因素通常是指不直接用数字表示的特征、属性、情况或条件,而定量方法则是利用数字、数量和可度量的方式来分析这些因素,以便更准确地评估其影响、重要性或其他特征。
这句话强调了在某些情况下,虽然一些因素可能是主观的、难以量化的,但为了更全面、更精确地了解这些因素的影响,需要采用定量方法来进行测量和分析。这可以帮助从定性因素中提取出可比较和可量化的信息,从而更好地支持决策和分析过程。
- Cobit是什么,它哪里适合信息安全系统和安全程序?
D. for control objectives
- Cobit的四个domain是什么?
A.
COBIT(Control Objectives for Information and Related Technologies)是一个信息技术管理和治理框架,用于帮助组织有效地管理和控制信息技术。COBIT 5,其中一个版本,定义了四个领域(domains),用于描述信息技术治理和管理的关键方面。这些领域是:
Planning and Organization(计划和组织):涉及制定信息技术治理的愿景、战略和政策,以及确保信息技术与组织的目标和需求相一致。
Acquisition and Implementation(获取和实施):涉及如何选择、获得、实施和集成信息技术解决方案,以满足业务需求并保持系统的完整性。
Delivery and Support(交付和支持):涉及如何交付、运维和支持信息技术服务,确保系统的正常运行和满足业务需求。
Monitoring and Evaluation(监控和评估):涉及监控信息技术治理和管理过程,以确保其有效性、合规性和持续改进。
这四个领域构成了COBIT框架的核心,帮助组织在整个信息技术生命周期中实现更好的治理和管理。每个领域都包含了一系列的控制目标、实践和指南,以帮助组织在各个方面实施最佳的信息技术治理实践。
【A】16. ISO/IEC 27799标准是什么?
A. 一个标准,如何保护个人健康信息
B. 新的BS 17799版本
C. 新的ISO 27000系列的定义
D. 新的NIST 800-60版本的定义
17.COSO主要的目标是什么?
B.
【B】18. 看不懂
敏感信息被藏在没有上锁的房间。房间的名称是ROOM 1。
这个标签在门上,希望别人不会认为这个房间里有重要信息。
这个公司实施了以下哪一种?
D. 通过隐匿保证安全新的锁和笼子代表着?
B. 物理控制
【A】21. 操作系统访问控制代表着?
C. Administrative控制
一个公司有电子商城,盈利年度60%的利润。
年度损失期望是92,000
实施了一个新的应用层防火墙,年度损失期望是30,000
防火墙每年花费65,000
防火墙为公司节约多少损失的金额?
A. 62,000防火墙对公司的价值是多少?
D. 负3,000公司的方法对于风险管理来说属于?
D. 风险缓解公司的设备价值800,000
每十年发生一次火灾
火灾会摧毁60%的价值
单次损失期望是多少?
B. 480,000ARO年度发生率是多少?
C. 0.1年度损失期望是多少?
C. 48,000
【D】28. 不会ISO IEC
【C】29. 不会Six Sigma
【C】30. 看不懂题目在考什么
【A】31. 看不懂题目在考什么
【D】32. 看不懂题目在考什么
【B】33. 题目太长,看不懂
【C】34. 题目太长,看不懂
【A】35. 题目太长,看不懂
36. Susan的老板说,她将会修改现在的安全管理。
老板解释,操作安全方法没有被解除,在标准的fashion,
所以一些系统有合适的安全配置,而一些没有。
她的老板需要理解现在的系统误配置有多危险。
以下哪一项形容了Susan需要确保操作创建合适配置标准?
D. Baselines基线
- 哪个是最好的方法来对她的老板解释现有配置问题?
D. 实施风险分析
【A】38. 哪个是最有可能Susan会实施的策略?
A. 建立标准
B. 建立训练
C. 建立监控
D. 建立测试
[28/39]CISSP认证考试指南第七版CISSP All in One - 安全和风险管理
page140
- D
- A 选B
为更好地处理计算机犯罪,立法机构已经采取了哪些措施?
A. 拓展了一些隐私法
B.扩大了资产的定义,将数据纳入资产的范围
C. 要求公司具有计算机犯罪保险
D. 重新定义了跨境问题
很多时候,被破坏的或者从电脑中获取的都是数据,所以现行的法律已经被更新,包括对无形资产的保护,就像数据一样。多年来,数据和信息已经成为许多公司最有价值的资产,必须受到法律的保护。
- A
- C
- C
- D
- A 选B
在确定是否应该实现特定的安全控制时,哪种技术是最有价值的?
A.风险分析
B. 成本/效益分析
C. 年度损失预期
D. 找出造成风险的漏洞和威胁
虽然其他答案似乎是正确的,但B是最好的答案。这是因为风险分析是为了识别风险并提出建议的对策。 ALE 告诉公司,如果一个具体的威胁变成现实,它会损失多少。 ALE 的价值将进入成本/效益分析,但 ALE 不能解决不采取措施的成本和对策的好处问题。在答案 中捕获的所有数据都被考虑到成本/收益分析中。
- D
- 什么是剩余风险?
D - C
- 定量风险分析和定性风险分析的区别
B 选C
下列哪一项最准确描述了定量风险分析?
A.定量风险分析是一种研究不同安全威胁的基于场景的分析方法
B.定量风险分析是一种描述潜在损失、损失概率和风险严重程度的方法
C. 定量风险分析是一种在风险评估中为资产评估价值的方法
D. 定量风险分析是一种基于个人直觉和观点的方法
- B 选D
为什么真正的定量风险分析是不可能实现的?
A. 这是有可能的,这也是为什么它被使用的原因
B.它分配严重性级别,因此很难将其转化为货币价值
C. 它只处理定量的元素
D.处理定量元素必须使用定量措施
- D
- A
- C 选B
OCTAVE NIST SP 800-30 ASINZS4360 是在公司和组织内开展风险管理的不同方法,
这些方法有什么不同?
A. NIST SP 800-30 OCTAVE 是基于公司的,而 NZS 是国际的
B. NIST SP 800-30 是基于 IT 的,而 OCTAVE ASINZS 4360 是基于公司的
C. ASINZS 是基于 IT 的, OCTAVE NIST SP 800 - 30 是基于保险的
D. NIST SP800-30 NZS 是基于公司的,而 OCTAVE 是国际的
- D
- B
- A
- A
92000 = 60%*年收入
30000
92000-30000= 62000节省的钱
62000-65000= -3000 - D
- D
- B
80 * 0.6 = 48 损失的价格 - C
- C
- B 选D
国际标准机构 ISO IEC 制定了一系列标准,用于世界各地的组织实施和维护信息安全管理系统。这些标准来自英国标准 7799 ,分为两部分。组织可以使用本系列标准作为指导方针,但是也可以通过认证的第三方来对其进行认证。下列哪个是与组成 ISOIIEC 27000 系列的单个标准不正确的映射?
1 . ISO/IEC 27001 概述了 ISMS 实施指南, ISO/IEC 27003 概述了 ISMS 项目的要求。
II. ISO/IEC 27005 概述了审计和认证指南, ISO/IEC 27002 概述了度量框架。
III. ISO/IEC 27006 概述了项目实施指南, ISO/IEC 27005 概述了风险管理指南。
凹. ISO/IEC 27001 概述了实践守则, ISO/IEC 27004 概述了实现框架。
A. I 、 III
B. II
C. II III 、凹
D. II III 、阿
- C
能力成熟度模型是什么? - C
- D 选A
如果金融机构想要在这种情况下迫使欺诈发生,那么 Todd 应该采取什么措施呢?
A.职责分离
B.岗位轮换
C. 社会工程
D. 知识分割
- D
- C 选D
30 Susan 需要确保操作人员的配置都是标准的,她应该采用什么方法?
A.双重控制
B.冗余
C. 培训”
D.基线
D
B 选A
Susan 最有可能向她的老板提出以下哪种解决方案?
A.开发标准
B. 开发培训
C. 开发监督
D. 开发测试C
B
- D 选A
、你将使用以下哪项来控制员工编写的原始白皮书的公开分发、复制、展示和修改?
A.版权
B. 商标
C. 专利
D. 商业秘密
版权适合这种情况。专利可以用来保护论文中所描述的新奇发明,但这个问题与这里的情况是不一样的。商业秘密不能公开传播,所以不适用。最后,商标只保护单词、符号、声音、形状、颜色或其组合。
- D
- C
- A
- B 选C
、下列哪个定义映射是不正确的?
1 .民法 基于对以前法律的解释
11. 普通法 基于规则的法律,而不是基于程序的法律
111.习惯法:主要处理个人行为和行为模式
N. 宗教法:基于该地区的宗教信仰
1 .民法 基于规则的法律,而不是基于程序的法律
11. 普通法:基于对法律的先前解释
III. 习惯法 主要处理个人行为和行为模式
凹.宗教法:基于该地区的宗教信仰
错了11个
28/39