CBK-D1-安全与风险管理-思维导图.md

CBK-D1-安全与风险管理

osg-ch2-人员安全和风险管理的概念

人员安全

人员经常被视为最脆弱的元素

招聘新员工的步骤

创建岗位描述

岗位描述并非专用于招聘过程，在组织的整个生命周期中进行维护

设置工作级别

筛选应聘者

候选人筛选

背景调查

####### 工作和教育背景

####### 检查推荐信

####### 验证学历

####### 访谈同事

####### 个人面试

####### 信用核查

####### 性格测试和评估

####### 在线背景调查

####### 社交网络账户审查

####### 背景调查遵循法律法规

推荐信调查

学历验证

安全调查验证

招聘和培训最适合的人

标准化的面试过程

入职签订雇佣协议

最小访问权限

可接受的使用策略AUP

保密协议NDA

####### 职责变化时签订额外的保密协议

####### 离职时提醒NDA或重新签署NDA

员工监管

定期审查或审计员工的岗位描述、工作任务、特权和职责

过多使用特权导致CIA破坏

心怀不满的破坏

接管员工账户的攻击者破坏

审查员工能力，并最小特权调整权限

金融行业–审查常使用强制休假1到2周时间

用户和员工的管理与评估技术

职责分离

岗位轮换

交叉培训

降低串通风险

职责分离

限制岗位职责

强制休假

岗位轮换

交叉培训

用户行为分析

用户与实体行为分析

将分析扩展到发生的实体活动，但不一定与用户的特定行为直接相关或有关联

离职、调动和解雇

通常禁用IAM账户，并保留几个月以进行审计

有问题的员工通道解雇，而不是调用其他部门

解雇-时间就是一切

外部人员控制

SLA

供应商、顾问和承包商的控制

VMS供应商管理系统

合规策略要求

组织依靠员工的合规性保持高质量、一致性、效率和节约成本

合规是一种行政或管理的安全控制形式

合规也是一个监管问题

隐私策略要求

主动防止未经授权访问PII个人身份信息

PII personally identifiable information

####### 电话号码

####### 电子邮件地址

####### 邮寄地址

####### 社会保险号

####### 姓名

####### MAC地址

####### IP地址

防止未授权访问个人的或机密的信息

防止未经同意或不知情的被观察、监视或检查

相关法律法规

健康保险流通与责任法案HIPAA

萨班斯-奥克斯利法案SOX

家庭教育权利和隐私法案 FERPA

金融服务现代化法案

通用数据保护条例 GDPR

组织安全策略必须提及在线隐私问题

风险管理

首次执行风险管理的结果是制定安全策略的依据。

主要目标是将风险降至可接受的水平

IT基础设施面临的风险来自多个方面

计算机方面

事故

自然灾害

金融威胁

内乱

流行病

物理威胁

技术利用

社会工程

风险管理的组成

风险评估

风险响应

风险意识

了解资产的价值

盘点可能损害资产的现有威胁

解决已识别的风险而选择和实施控制措施

资产估值

有形价值

无形价值

风险管理的过程

1.识别威胁和脆弱性

编制威胁列表

2.风险评估和分析

团队形式

高层管理人员的职责

####### 实际执行是IT和安全部门的团队

定性风险分析

####### 用主观的和无形的价值来表示资产损失，并考虑观点、感受、直觉、偏好、想法和直觉反应

######## 一般先定性再定量

######## 基于场景，而非基于计算

######### 基于判断、直觉和经验

######## 定性分析方法

######### 头脑风暴

######### 故事板

######### 焦点小组

######### 调查

######### 问卷

######### 检查清单

######### 一对一的会议

######### 采访

######### 场景

########## 对单个主要威胁的书面描述

######### Delphi技术

########## 匿名的反馈和响应过程

定量风险分析

####### 用实际的货币来计算资产损失

######## 1.编制资产清单，为每个资产分配资产价值AV

######## 2.列出资产-威胁组合

######## 3.对于每个资产组合，计算暴露因子 exposure factor EF

######## 4.对每个资产组合，计算单一损失期望 single loss expectancy  SLE

######## 5.执行威胁分析，计算年度发生率 ARO

######## 6.计算年度损失期望 ALE

######## 7.研究每种威胁的控制措施，计算ARO\EF\ALE的变化

######## 8.进行成本\效益分析，为每个威胁选择最合适的防护措施

风险评估的目标是识别风险并按重要性进行优先级排序

外聘风险管理顾问

####### 书面上的评估和分析

####### 使用风险评估软件

####### 生成标准化报告

3.风险响应

降低或缓解

####### 实施加密措施

####### 使用防火墙

转让或转移

####### 购买网络安全或传统保险

####### 外包

威慑

####### 实施审计

####### 安全摄像头

####### 警告横幅

####### 使用安保人员

规避

####### 选择替代的选项或活动

接受

####### 控制措施的成本将超过风险可能造成的损失

####### 通常由高管以书面签名形式说明为何不实施保护措施

拒绝或忽略

####### 不可接受的但可能发生的风险响应

####### 法庭上通常被认为存在疏忽

威胁脆弱性资产价值=总风险

总风险-控制间隙=残余风险

####### 控制间隙是指通过实施保护措施而减少的风险。

风险处理和风险管理一样，都不是一次性过程。必须持续维护和重复确认安全

重复进行风险评估和风险响应是评估安全计划的完整性和有效性的必要机制。

####### 迭代化操作，自我回顾以进行持续改进。

控制风险是将安全对策部署到环境中时引入的风险

对于已识别的风险，编制一份可能的和可用的防护措施清单

####### 基于调查市场

####### 咨询专家

####### 审查安全框架

####### 法规

####### 指南

安全控制的成本与收益

####### 防护措施、安全控制和安全对策主要通过降低潜在的破坏比例（如ARO）来降低风险

####### 选择部署任何防护措施都会是组织付出一定代价

####### 受保护资产的价值决定了保护机制的最大支出

####### 防护措施实施前的ALE-防护措施是时候的ALE-防护措施的年度成本ACS=防护措施对公司的价值

####### 还要考虑法律责任和审慎的应尽关系和尽职审查

####### 以有限的成本获取最佳的安全

######## 因缺乏资金就没有对不可接受的威胁或风险进行防范，这种借口是不可接受的。

选择与实施安全对策

####### 安全可对业务任务和功能进行支持和赋能

####### 可以是管理性、逻辑性或物理性的安全机制

######## 分层的、纵深防御的方式实现

####### 风险矩阵或风险热图，有时被称为定性风险评估

####### 持续改进

######## 可使用风险成熟度模型RMM评估企业风险管理ERM计划

######## 遗留设备风险，生产期终止EOL，EOSL，EOS系统应尽快替换，例如Adobe Flash PLayer于2020年12月31日达到其EOSL，应按照其建议将其卸载

风险框架

####### RMF

######## 为联邦机构制定的强制性要求 2010年

######### 准备

######### 分类

######### 选择

######### 实施

######### 评估

######### 授权

######### 监控

######## 作为一种风险管理流程来识别和应对威胁

####### CSF

######## 为关键基础设施和商业祖师设计 2014年

社会工程

####### 利用人类天性和人类行为的攻击形式

######## 任何未遂的或成功的社会工程违规行为都应得到彻底调查和响应

####### 两种主要形式

######## 说服某人执行未经授权的操作

######## 说服某人泄露机密信息

####### 最重要的防护措施是用户教育和意识培训

######## 入职培训和定期接受巩固培训

######## 由管理员或培训官员向他们发送电子邮件提醒其有关威胁

####### 社会工程攻击的原理是关注人性的各个方面并加以利用

######## 社会工程的种类

######### 权威

######### 恐吓

######### 共识

######### 稀缺性

######### 熟悉

######### 信任

######### 紧迫性

######## 获取信息

######## 前置词

######## 网络钓鱼

######### 网络钓鱼模拟器

######## 鱼叉式网络钓鱼

######### 针对特定用户群体制作

######### 被称为商业电子邮件泄露BEC

######## 网络钓鲸

######## 短信钓鱼

######## 语音网络钓鱼

######## 垃圾邮件

######### 垃圾邮件过滤器

######## 肩窥

######## 发票诈骗

######## 恶作剧

######## 假冒和伪装

######## 尾随和捎带

######## 垃圾箱搜寻

######## 身份欺诈

######## 误植域名

######## 影响力运动

######### 混合战争

######### 社交媒体

安全意识、教育和培训计划

####### 培训是一种管理性控制

####### 安全意识和培训通常由内部提供

####### 改进

######## 改变培训的重点，可以是个人、客户、组织

######## 改变培训的主体顺序或重点

######## 使用多种演示方法

######## 角色扮演

######## 发展和鼓励安全带头人

######### 通常是非安全人员

######## 通过游戏化的方式提升安全意识和改进培训

######### 改进安全培训的其他方式

########## 夺旗演习

########## 模拟网络钓鱼

########## 基于计算机的培训CBT

########## 基于角色的培训

####### 有效性评估

######## 培训后进行一次测试，三到六个月后在进行一次后续测试

osg-ch3-业务连续性计划

概述

BCP步骤

1.评估组织流程的风险

2.创建策略

3.创建计划

4.创建程序

5.最大限度地减小风险对组织产生的不良影响

BCP计划者的目标是通过综合实施策略、程序和流程，将潜在的破坏性事件对业务的影响降至最小

BCP专注在降低的或受限的基础设施能力或资源上维持业务运营

BCP是战略性的，关注上层，以业务和运营为 中心。

DRP是战术性的，关注下层，描述恢复站点、备份和容错等技术活动。

BCP的总体目标

在紧急情况下，提供快速、冷静和有效的响应，提高公司从破坏性事件中快速恢复的能力。

BCP流程的4个阶段

1.项目范围和计划

2.业务影响分析BIA

3.连续性计划

4.计划批准和实施

人员安全一直是BCP和DRP的最优先考虑的

先让人们远离伤害，然后完成IT恢复和问题修复。

1.项目范围和计划

组织制定BCP时的目标

1.从危机规划的角度对业务组织进行结构化分析

业务支持分析和识别

####### 1.负责向客户提供核心服务业务的运营部门

####### 2.考虑关键支持服务部门，如IT部门，设施和维护人员

####### 3.负责物理安全的公司安全团队

####### 4.高级管理人员和对组织持续运营至关重要的其他人员

BIA由负责BCP工作的人员执行

####### 有些组织会聘请专职的业务连续性经理

####### 有些组织会由IT管理者兼任

整个BCP团队成立后，第一项任务是对分析结果进行一次全面审查

2.在高级管理层的批准下创建BCP团队

孤立地开发BCP可能带来的问题

####### 1.可能没有考虑日常运营的业务人员需要的知识

####### 2.计划详情的操作要素咋计划实施前一直不能确定下来

BCP团队 目标是一支尽可能多样化的，并保持和谐运行

####### 1.可能导致存在个人倾向。领导者应接受并加以利用，在最终计划中实现健康的平衡

####### 2.如果缺乏恰当的领导力，个人倾向可能转变为破坏性的地盘争斗，进而破坏BCP成果，损害整个组织

高级管理人员积极参与对BCP的成功至关重要，若高管不参加，出现灾难事件，并且高管没有实施尽职审查，可能会认定高管承担个人责任

说服高管勿将BCP、DRP的花费视为可有可无

3.评估可用于业务连续性活动的资源

1.BCP开发

####### 主要耗费人力资源

2.BCP测试、培训和维护

####### 需要一些硬件和软件资源

####### 主要资源是人力资源

3.BCP实施

####### 大量实施工作

####### 直接的财务费用

####### 使用其BCP实施权力

BCP过程中消耗的最重要的资源之一是人力。

4.分析在处理灾难性事件方面，组织需遵守的法律以及所处的监管环境

法律法规要求许多行业实施不同程度的BCP

金融机构受政府法规以及国际银行和证券法规的约束

多个法律法规对紧急情况下的持续运营提出了要求

即使不受法律法规约束，也要对客户承担合同义务，实施合理的BCP实践

完善的BCP计划，可以赢得新客户和现有客户的其他业务

有必要让组织的法律顾问参与到BCP的整个过程。

2.业务影响分析

确定优先级

每个参与者负责制定涵盖其部门业务功能的优先级列表，开会讨论时基于这些列表为整个组织创建优先级主列表

确保业务功能的RTO小于MTD

风险识别

自然风险

人为风险

本质上这里的BIA风险识别是定性分析

可能性评估

影响分析

资源优先级排序

3.连续性计划

重点是开发和实施连续性策略

两个主要子任务

策略开发

预备和处理

有三类资产必须通过BCP预备和处理进行保护

####### 人员

######## 管理层为团队成员提供完成所分配任务必需的全部资源

####### 建筑物、设施

######## 加固预备措施

######## 替代站点

####### 基础设施

######## 物理性加固系统

######### 计算机安全灭火系统

######### 不间断电源

######## 备用系统

######### 冗余组件

######### 完全冗余系统/通讯链路

4.计算批准和实施

BCP团队一旦完成BCP文档的设计阶段，就应当请最高管理层批准该计划

高级管理层的支持对整个BCP工作的成果极为重要

1.计划批准

2.计划实施

一旦高管批准，即可开始实施

BCP共同开发实施计划，尽快实现预备目标的资源分配

资源部署后，BCP团队对维护程序的设计和执行情况进行监督

3.培训和教育

是BCP实施的基本要素

进行BCP任务评估确保能有效使用

为BCP任务至少培训一名备用人员

4.BCP文档化

连续性计划的目标

重要性声明

优先级声明

组织职责声明

它告知员工、供应商和附属企业，组织希望他们尽力协助BCP过程的实施

紧急程度和时限声明

考虑添加一个详细的实施时间表，以培养紧迫感

风险评估

反映的是某个时间点的评估结果，团队必须对其定期更新以反映不断变化的情况

风险接受/风险缓解

包含策略开发部分的结果

应涵盖风险分析部分确定的所有风险

对于可接受的风险，应概述原因及未来可能重新考虑此决定的可能事件

对于不可接受的风险，概述要采取的缓解风险的预备措施和过程，以降低风险对组织持续运营的影响

重要记录计划

该文档说明了存储关键业务记录的位置以及建立和存储这些记录的备份副本的过程

如果遇到混乱情况，需受限识别对业务而言真正关键的重要记录

应急响应指南

概述组织和个人立即响应紧急事件的职责

立即响应程序

事故通知人员名单

第一响应人员在等待BCP团队集结时应采取的二级响应程序

每个人都可能是紧急时间的第一响应人员

维护

BCP文件和计划本身必须即时更新

####### BCP团队在开发计划后，应定期开会讨论BCP计划并审核计划测试的结果，确保其一直能满足组织需求

微小的改动，在BCP团队的非正式会议上达成一致即可

如果组织的使命或资源发生巨大改变，可能需求从头开发BCP

每次更改BCP时，都必须进行良好的版本控制

将BCP组件纳入岗位描述中，确保BCP持续更新并是团队成员正确履行其BCP职责

测试和演练

BCP文档中还应包含一个正式的演练程序，以确保该计划仍然有效

BCP的测试过程与用于DRP的测试过程非常相似

osg-ch4-法律、法规和合规

法律的分类

刑法

维护和平、保障社会安全的法律体系的基石

许多刑法通过打击计算机犯罪来保护社会安全

所有联邦和州的法律都必须遵守美国的最高法律《美国宪法》

如果发现自己作为证人、被告或受害者卷入刑事案件，特别是计算机犯罪案件，强烈建议向熟悉刑法系统的律师寻求帮助

民法

民法是美国法律体系的主体，用于维护社会秩序

民法判决的事项类型

合同纠纷

财产、遗嘱公证程序

房地产交易

雇佣问题

民法和刑法都被收录在美国法典中

刑法和民法主要区别在于执行方式

执法当局不会介入民法事务

民法多是涉及经济处罚

行政法

行政法被纳入美国联邦法规CFR中

必须符合所有现有的民法和刑法

政府机构不得执行与现行法律直接抵触的法规

信息技术相关的法律

如果运营环境涉及外国的司法管辖权，应聘请当地的法律顾问进行指导了解当地的法律系统

早起的许多计算机犯罪起诉案件都被驳回，因为法官认为传统法律应用到这种现代犯罪的做法比较牵强

美国几乎每个州都针对计算机安全问题制定了某些形式的法律

跨越州边界的问题， 归入联邦司法范围，在联邦法院中进行诉讼

《计算机欺诈和滥用法案》CFAA

是美国针对网络犯罪的第一项重要立法1984年

将其作为全面控制犯罪法CCCA的一部分

CFAA修正案

1994年计算机滥用修正案

可能用于起诉各种计算机的犯罪，但也被安全和隐私界认为过于宽泛

1996年美国的《国家信息基础设施保护法案》

1991年联邦量刑指南

2002年联邦信息安全管理法案

废除和取代了1987年的《计算机安全法案》和2000年的《政府信息安全改革法案》

NIST美国国家标准和技术研究院负责制定的FISMA实施指南

2014年联邦网络安全法案

美国总统签署的一系列法案

知识产权IP

美国和许多工业化国家，开始向服务提供商转变

许多跨国公司认为最有价值的资产是他们的品牌名称

知识产权的4中类型

1.版权

####### 计算机软件版权属于文学作品范畴

######## 版权默认归作品创作者所有，因受雇佣而创作的作品除外

######## 一个或多个创作者的作品，版权保护时间是最晚去世者离世后的70年。

######## 受雇佣创作和匿名创作是第一次发表后的95年，和从创建之日起的120年的时间较短的一个。

######## 《数字千年版权法》

######### 备受争议

######### DMCA第一个条款主要目的是防止数字介质的复制，如DVD和CD

########## 图书馆和学校不受限制

######### 不要求ISP对用户的临时性活动承担责任

####### 保护创造性作品

2.商标

####### 不需要正式注册就能获得法律保护

####### 使用TM符号表明将文字或标语当做商标来保护

####### 注册商标可以用R圈符号来表示已注册

####### 商标申请被接受的两个重点要求

######## 1.不与其他商标类似，以免造成混淆

######## 2.该商标不能是所提供的产品与服务的说明

####### 美国商标有效期10年

3.专利

####### 自发明之日起20年的保护期限

####### 专利的三个重点要求

######## 1.必须具有新颖性

######## 2.必须具有实用性

######## 3.必须具有创造性

####### 专利一直用于保护硬件设备和制造过程

####### 外观设计专利

######## 仅持续15年

4.商业秘密

####### 避免版权或专利的公开性

####### 避免版权和专利的保护时间期限

####### 1996年经济间谍法案

####### 大型软件开发公司采取商业秘密

####### 自行保存，不向任何人登记

许可

安全专业人员熟悉与软件许可协议相关的法律问题

4种常见的许可协议

####### 1.合同许可协议书使用书面合同，列出软件供应商和客户之间的责任

####### 2.开封生效许可协议被写在软件包装的外部

####### 3.单击生效许可协议更常见

####### 4.云服务许可协议将单击协议发挥到极致

进口/出口控制

目前美国可向几乎所有国家出口高性能计算系统，不必事先得到政府批准

加密技术之前不可从美国出口，经过企业游说修改了相关规定

隐私

美国隐私法

####### 第四修正案是美国隐私权的基础

######## 限制搜查令

####### 1974年隐私法案

######## 限制当事人书面同意

######### 人口普查，执法，国家档案，健康等例外

######## 只适用于政府机构

####### 1986年《电子通信隐私法案》

######## 将对手机通话的监听定义为非法

####### 1994年《通信执法协助法案》

####### 1996年《经济间谍法案》

####### 1996年健康保险流通与责任法案

####### 2009年《健康信息技术促进经济和临床健康法案》

######## 约束商业伙伴

####### 1998年《儿童在线隐私保护法》

####### 1999年《Gramm-Leach-Bliley法案》

######## 对金融机构有了严格监管

####### 2001年《美国爱国者法案》

####### 《家庭教育权利和隐私法案》

####### 《身份盗用与侵占防治法》

####### 员工在工作场所使用雇主的所有通信设备，对隐私没有合理的预期

欧盟隐私法

####### 1995年欧盟数据保护指令DPD

######## 1998年生效，世界上第一部基础广泛的隐私法

####### 2016年《通用数据保护条例》

######## 2018年生效，监管范围是扩大到整个欧盟的数据

######### 适用于所有收集欧盟居民数据或代表收集数据的人员处理这些信息的组织

######## 适用于收集欧盟居民信息的非欧盟组织

######## 具有国际性，但能否在全球执行，是个待定的问题

####### 跨境信息共享

######## 1.标准合同条款-欧盟网站可下载，集成到合同中

######## 2.具有约束力的公司规则

######### 规则得到每个使用他们的欧盟成员国批准

####### 2020年美国、欧盟隐私盾无效

加拿大隐私法

####### PIPEDA《个人信息保护和电子文件法》

######## 包含了个人可识别的个人信息

######## 排除了不符合个人信息定义的信息

######## 不适用于非营利组织，市政当局、学校和医院

####### 州隐私法

######## 以欧盟GDPR为蓝本

######### 2020年生效

合规

支付卡行业数据安全标准

####### 是合同义务，通过接受信用卡的企业与处理业务的银行之间的商业协议条款来强制执行安全性

组织可能受制于法律，监管机构，合同义务

合规审计

####### 内部审计

####### 外部审计

####### 监管机构或其代理机构

####### 非正式审计

######## 合规的股东报告

######## PCI DSS非强制性要求的评估报告

聘用全职合规人员

####### 1.负责跟踪监管环境

####### 2.监视控制以确保持续合规

####### 3.促进合规审计，并履行组织的合规报告责任

合同和采购

审查供应商实施的安全控制

####### 最初的供应商选择和评估流程

####### 持续管理审查

####### 根据组织的关注事项，供应商提供的服务类型调整安全审查范围

osg-ch1-实现安全治理的原则和策略

安全101、安全是业务管理工具、用于支持组织的目标、使命和宗旨

安全框架是起点。安全评估的类型

风险评估

漏洞评估

渗透测试

安全应具有成本效益

安全应该是合法的，符合辖区法律

安全是一个过程，而不是终点

安全概念

CIA三元组

保密性是第一原则

完整性-保护数据可靠性和正确性

可用性–授权主体被授予实时的、不间断的客体访问权限

DAD三元组

泄露

修改

破坏

过度保护的风险

真实性

不可否认性

AAA服务-核心安全机制

标识

身份认证

授权

审计或记账

保护机制

纵深防御-简单使用一系列控制中的多个控制

抽象-为了提高效率

加密

数据隐藏-故意将数据放在未授权主体无法访问或读取的逻辑存储空间-放置泄露或访问

通过隐匿保持安全-指不告知主体关于客体的存在，但是主体有可能自己找到客体进行访问

安全边界-存在于高安全区域和低安全区域之间

物理环境和逻辑环境之间也存在安全边界–作为两种不同的元素进行评估

明确定义安全边界

物理环境中的安全边界通常与逻辑环境的安全边界相对应

安全策略部署为控制时，考虑每个环境和边界。考虑经济效益

安全治理

董事会执行，小组织是CEO、CISO执行安全治理

安全治理、公司治理、IT治理相辅相成

迫于法律法规进行治理，遵守行业指南和许可证要求

安全治理在整个组织中的管理和治理，包括IT、流程、运营等方方面面

第三方治理-侧重于验证符合声明的安全目标、需求、法律法规和合同义务

文件审查

查看交换材料病根据标准和期望进行验证的过程

如未提供足够的文件满足第三方治理要求，可能导致操作授权ATO的取消

根据标准、框架和合同义务对业务流程和组织策略进行逻辑和实际的调查

风险管理、风险评估和风险处置是流程和策略评审时用到的技术

安全管理

安全必须是可衡量的。-信息安全战略的开发和实施

最有效的处理安全管理计划的是 自上而下方法

安全管理是上层人员的责任

CSO是老大，CISO是安全分支；安保部门也是安全分支

安全管理计划

战略计划–长期稳定的

风险评估

愿景计划

战术计划-中期计划

项目计划

收购计划

招聘计划

系统开发计划

操作计划-短期-详细

每月每季度更新

包括资源分配、预算需求、人员分配进度安排与细化

培训计划

系统部署计划

产品设计计划

安全是一个持续的过程，安全计划有起点，么有终点

关注具体和可实现的目标、预测变化和潜在问题

安全文档是具体的、定义完善的和明确的

收购和兼并会提高组织风险

不当的信息泄露

数据丢失

停机

投资回报率ROI低于逾期

安全集成评估

现场评估

文件交换和审查

过程策略审查

第三方审计

服务级别需求SLR

变更控制和变更管理

安全角色

高级管理者-最终负责和决策

安全专业人员-执行决策

资产所有者-高级管理者-对资产保护负全责

托管员-执行保护任务和决策的人员

执行和测试备份

验证数据完整性

部署安全解决方案

鲫鱼分类管理数据存储

用户-最小特权、遵守安全规定

审计人员

COBIT安全控制框架六原则

为利益相关方创造价值

采用整体分析法

治理单独出管理

根据企业定制

采用端到端的治理系统

应尽关心和尽职审查

尽职审查是制定计划策略和流程来保护组织的利益

应该做什么并制定计划

确定安全框架-包括安全策略、标准、基线、指南和程序

应尽关心是实践那些维持尽职审查工作的活动

在正确的时间采取正确的行动

维护安全的文档

安全策略-最高级文件

安全标准-q强制性标准

基线-最低要求-一般参考行业和政府标准

指南-建议性文档

安全程序-或标准操作程序SOP-最底层元素

文档分级分类保存

只更新和重新分发变动的文档

威胁建模

识别、分类和分析潜在威胁的安全过程

不是一个独立事件-通常贯穿全周期-SD3+C

主动式-防御式威胁建模

被动式-威胁狩猎-对抗性方法

识别威胁

关注资产

关注攻击者

关注软件

STRIDE威胁分类方案

欺骗

篡改

否认

信息泄露

拒绝服务

特权提升

PASTA攻击模拟和威胁分析过程

以风险为核心进行分析

旨在开发对应的防护措施

可视化、敏捷和简单威胁VAST

基于敏捷项目管理和编程原则的

在可扩展的基础上将威胁和风险管理集成到敏捷编程环境

确定和绘制潜在的攻击

显示系统的安全边界之间的信息和数据潜在流动和传输

执行简化分析

分解应用程序、系统和环境

优先级排序和响应

高中低评级或DREAD系统

供应链安全管理

供应链风险管理SCRM-旨在确保所有环节都是可靠的、值得信赖的

考虑外部供应链带来的威胁载体

可能导致产品缺陷或可靠性低

可能允许远程访问或监听

供应链攻击是一个难以解决的风险

可以检查所有设备，以降低风险

持续的安全监控、管理和评估

这可能是行业最佳实践或监管要求

设立供应链中实体的最低安全要求

新产品不低于最终产品的安全性的预期

详细审查SLA、合同和实际执行情况

正在制作软件、提供服务，定义服务级别需求SLR

SLR对产品的服务和性能进行说明

服务级别协议SLA包含SLR，SLR在SLA之前定