等保——监管由谁来管:
公安(内容,重要信息)
网信办
法律
安全的目的:
风险 审计 控制
审计的作用:增加价值和改善组织的运营
目标和目的的区别:
目标是一种量化的指标
目的是最终结果
企业风险的分类:战略,合规,运营,财务
风险常用术语:
目标、脆弱性、威胁、可能性、影响程度、固有风险、现有控制措施等……
我国企业IT风险发展阶段:
1.ISMS初步建立阶段
ISMI体系安全评估,加固
2.精细化SOC平台、ITRM平台、ISMS/ITSM/BCM体系
IT风险管理阶段
3.IT风险与业务融合阶段
业务风险管理平台,SOC平台,ITRM平台,ISMS/ITSM/BCM体系
管理级别:
粗放管理级
规范管理级
优化管理级
融合管理级
审计的驱动力:
1.合规
2.效率、效果——经营
3.安全
4.管理者
5.利用审计要挟
数据是什么:信息系统中的信息
信息安全的目标:
基本目标:保密性、完整性、可用性(这是信息的三要素)
扩展目标:真实性、可追溯性、防抵赖性……
企业保密信息:与业务相关、与国家要求相关
风险处置策略:降低、规避、转嫁、接受风险
风险由可能性和后果构成,两个维度的阴影面积可以算作是危险程度
用户访问的控制原则:知所必须。最小授权
本文由乐趣区整理发布,转载请注明出处,谢谢。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
