内容摘要:从本文开始,J0ker将带大家进入CISSP考试的正式复习过程:2007年(ISC)2修改过CISSP考试的各CBK名称和内容,虽然新内容绝大部分和原来的CISSPCBK相同,但还是增加了一些新内容。
Availability,可用性,保证信息资产对授权的用户随时可用;
Integrity,完整性,保证信息资产不受有意或无意的未授权修改;
Confidentiality,保密性,保证信息资产不受未经授权的访问。
A-I-C三角也是贯穿整个CISSPCBK内容的宗旨。因此,对一个组织实体来说,信息安全管理的内容就是识别信息资产的类型价值,并通过开发、记录和实施安全策略(Policies)、标准(Standards)、流程(Procedures)和指导(Guidelines)来确保信息资产的A-I-C属性。在这个过程中,需要对信息资产进行识别和分级、识别可能威胁信息资产的威胁、并对可能存在的漏洞进行评估,我们可以使用数据分级(Dataclassification)、安全意识教育(Security Awareness Training)、风险评估(Risk Assessment)和风险分析(Risk Analysis)这些工具来完成。J0ker将在接下去的文章里面再给大家详细解释上面提到的各个名词。
在CISSP CBK中还可以看到一个和信息安全管理相似的名词——风险管理(Risk Management),信息安全管理是从管理流程的角度实现信息资产的保护,而风险管理则是从风险防范的角度出发,将风险对信息资产的损害降到最低。风险管理是识别、评估、控制和最小化风险或未确定因素对信息资产的损害的过程,它包括整体安全评估(Overall Security Reviews)、风险分析(Risk Analysis)、防御方案的选择和评估(Evaluationand Selectionof Safeguard)、效能分析(Cost/Benefit Analysis)、管理决策(Management Decision)、防御方案部署(Safeguard Implementation)和效能评估(Effectiveness Reviews)等步骤。
A-I-C三角是贯穿CISSP CBK的宗旨,这也是我们在CISSP复习中遇到的第一个重点,如何把抽象的A-I-C概念,转化成具体的知识?J0ker打算用实际应用中的例子说明一下:
来源:51CTO 作者:梁林 责编:豆豆技术应用