数据结构
网络
关系数据库管理系统 (RDBMS)
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 语言编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法律研究安全策略及其类型 - CISSP 认证
组织的执行管理层或政策委员会必须制定安全策略,明确安全在组织中的地位和价值。这些政策必须确定组织的安全目标和商业目标。使用的术语不包含复杂的专业术语,易于阅读。政策也必须易于理解。此外,这些政策需要具有前瞻性,并在公司内部发生重大变化时进行评估和修改。
对于 CISSP 考试问题,只需要关注八个领域中的几个。重点必须放在风险和安全管理、安全工程、资产安全、网络安全、通信、身份和访问管理、安全运营和评估以及软件开发安全上。
CISSP 考试涵盖多种安全策略
通过本次考试,您将评估信息安全策略以及您对监管和咨询策略的理解。扎实掌握这三类策略至关重要。
监管策略 - 当公司或组织拥有监管策略时,他们可以确保严格遵守适用行业法规规定的标准。监管法律通常对公用事业、金融机构以及其他为公众最佳利益服务的组织很有帮助。例如,在过去十年中,德克萨斯州实施了新的法规,要求公司保留员工专利和创意的广泛记录。您必须在专利或创意提交后至少保存五年这些文件。
咨询策略 - 这项策略之所以有效,是因为它为员工提供了关于批准行为以及根据公司标准不被批准的行为的明确指导。即使政策原则在法律上不具有约束力,但在违规的情况下,仍可能适用严重的后果。在某些企业中,作为制裁,训斥可以扩展到解雇。
信息策略 - 这项安全策略的目的是提供信息,而不是明示或暗示地施加任何强制要求。实际上,在几乎所有公司中都可以找到旨在教育员工的策略。例如,人力资源代表 (HR) 和员工申诉专员可以合作调查员工投诉,确保员工的意见得到倾听并找到解决方案。
公司采取了立场。公司新的安全举措将以此处提出的概念为基础。它使将用于推出公司安全措施(包括其 IT 基础设施的安全措施)的总体战略正式化,以便它可以实施。
特定系统的指南
这种类型的策略将注意力集中在特定的计算机系统上。其最基本的功能是显示该特定机器上授权使用的硬件和软件。
每个主题领域的具体规定 最后,这项策略集中在值得更仔细调查的特定方面,并重点关注该方面。根据政策的要求,组织通常会采用补充方法来满足适当的安全级别。此类规则的众多示例包括有关电子邮件、系统更新、加密、用户访问和安全问题的策略。
注册信息系统安全专业人员考试,称为 CISSP 考试,测试候选人对安全标准的了解。
八个 CISSP 领域之一称为安全和风险管理,它负责管理安全标准。标准比策略更具体,因此被视为战术文件,因为它们详细说明了必须执行的具体活动或程序以满足需求
策略和程序信息
安全和风险管理的总体概念的另一个方面是建立指南和程序。当我们谈论差异和相似之处时,这意味着什么?我们如何定义它们?通过首先熟悉这些短语在信息安全背景下的定义,有助于更好地理解这些短语。
指南
策略或程序指南是文档的一部分,概述了被认为可接受的行为或活动。它可能仅仅是关于执行特定任务的最有效方法的建议或建议。它将是灵活的,并且可以根据具体情况进行修改。一些信息安全专家可能需要澄清这两个术语,即使指南和最佳实践在该领域承担不同的职责。组织利用最佳实践来分析风险,而策略则概述了适当的方法。
程序
最细粒度的文档级别包括安全程序。它们对细节的关注以及严格执行规则的必要安全原则和要求的特征是使它们与众不同的特征。
在大多数情况下,必须遵循什么程序才能成功地为计算机网络或数据库安装软件和硬件?此外,程序解释了如何向组织添加新用户、系统和软件。因此,没有两家公司是相同的,因此他们的程序也不同是有道理的。但是,几种方法可能在大多数公司中是典型的。
来自物理和环境领域的示例包括防止窃听以太网连接以及保持服务器机房的恒定温度。
结论
由于管理程序,负责组织基础设施的个人的责任可以清晰且井井有条。如果 DBA 被告知当他们干扰公司防火墙日志时会发生什么,这将是一个很好的例子,说明为什么他们首先不应该这样做。配置方法涵盖各种组件,包括操作系统、防火墙和路由器。
322 次查看
