CISSP-安全与风险管理 | FuYuanzi 的博客

type

Post

status

Published

date

Jul 11, 2025

slug

CISSP_1

summary

记录日常对于CISSP的学习

1. 理解、坚持和弘扬职业道德

1.1(ISC)2职业道德规范

如果(ISC)2成员遇到了潜在的违反道德规范的行为，可向(ISC)2提交正式的道德投诉并报告可能的违反行为，以进行调查。

1.1.1 道德规范的准则

保护社会、公益、必需的公信与自信，保护基础设施。安全专业人员具有很大的社会责任，我们担负着确保自己的行为使公众受益的使命。

行为得体、诚实、公正、负责和守法。对于履行责任来说，诚实正直是必不可少的。如果组织、安全团体内部的其他人或一般公众怀疑我们提供的指导不准确，或者质疑我们的行为动机，我们就无法有效履行自己的职责。

为委托人提供尽职的、合格的服务。尽管要对整个社会负责，但也要对雇用我们来保护其基础设施的委托人负责。我们必须确保提供无偏见的、完全合格的服务。

发展和保护职业。我们选择的这个职业在不断变化。作为安全专业人员，我们必须确保掌握最新的知识并应用到社会的通用知识体系中。

1.1.2 道德规范投诉

任何普通公众均可提出涉及准则(1)或准则(2)的投诉。

只有雇主或与个人有合同关系的人才能根据准则(3)提出投诉。

其他专业人士可能会根据准则(4)提出投诉。需要注意的是，这并不限于网络安全专业人士。任何被认证或许可为专业人士并签署道德规范（作为该认证或许可的一部分）的人都有资格根据准则(4)提出投诉。

1.2 组织道德规范

几乎每个组织都会向员工发布自己的道德规范，以指导他们的口常工作。这些可能以官方道德声明的形式出现，也可能体现在组织用于开展日常业务活动的政策和程序中。

2. 理解和应用安全概念

2.1 保密性、完整性、可用性、真实性和不可否认性

2.1.2 CIA三元组

保密性（confidentiality）：阻止或最小化未经授权的访问、信息泄漏。【不存在数据泄露】 完整性（integrity）：防止了未经授权的数据篡改。【不会被篡改数据】 可用性（availability）：提供不间断的、实时的客体访问权限【不会被DDOS、DOS】

与之相反的是DAD——DAD 三元组由**泄露 (disclosure)、修改(alteration)与破坏(destruction)**组成

过度的保护保密性、完整性会导致可用性受限，过度的保护可用性会导致保密性和完整性受损。

2.1.2.1 可用性控制措施

独立磁盘冗余阵列

容灾切换Failover配置

集群技术

负载均衡技术Load Balancing

冗余数据

冗余电源供给

软件和数据备份

磁盘映像Disk Shadowing

主机代管Co-location和异地备用设施

回滚功能Rollback功能

2.1.2.2 完整性控制措施

哈希运算（数据完整性）

配置管理（系统完整性）

变更控制(流程完整性）

访问控制川 (物理性及技术性)

软件数字签名

传输循环余校验 (Cyclic Redundancy Check, CRC)

2.1.2.3 保密性控制措施

静止状态数据加密（全盘加密技术和数据库加密技术，Bitlocker）

传输状态数据加密（IPSeC，TLS、PPTP和SSH)

访问控制技术（白名单和黑名单，物理性和技术性）

2.1.3 真实性、不可否认性和AAA服务

真实性(authenticity)这个安全概念是指数据是可信的或非伪造的并源自其声称的来源。这与完整性有关，但更重要的是验证它是否来自卢称的来源。当数据具有真实性时，接收者可以高度确信数据来自其声称的来源，并且在传输（或存储）过程中没有发生变化。

不可否认性(non-repudiation)确保事件的主体或引发事件的人不能否认事件的发生。不可否认性可预防主体否认发送过消息，执行过动作或导致某个事件的发生。可使用数字证书、会话标识符、事务日志以及其他许多事务性机制和访问控制机制来实施不可否认性。不可否认性是问责制的重要组成部分，如果嫌疑人能够证明起诉不成立，他就不会被追究责任。

AAA服务是所有安全环境中的一个核心安全机制。这三个 A 分别代表身份认证 (authentication)、授权(authorization)和记账(accounting)；最后一个 A 有时也指审计(auditing)。尽管缩略词中只有三个字母，但实际上代表了五项内容：标识(identification)、身份认证、授权、审计和记账。这五项内容代表以下安全程序。

标识：当试图访问受保护的区域或系统时声明自己的身份。

身份认证：证实身份。

授权：对一个具体身份或主体定义其对资源和客体的访问许可（如允许／授予和／或拒绝）。

审计：记录与系统和主体相关的事件与活动日志。

记账（或问责制）：通过审查日志文件来核查合规和违规情况，尤其是违反组织安全策略的情况，以便让主体对自身行为负责。

2.2 保护机制

纵深防御

一个控制的实效不会导致系统或数据直接受损

该策略应该进行串行实施，而不是并行，原因就是串行配置的范围很窄，但是层级很深。

抽象

抽象是为了提高效率，相似的元素被放入到组、类或角色中，作为集合被统一指派安全控制、限制和许可。

数据隐藏

数据隐藏：故意将数据存放在未授权主体无法查看或访问的位置。数据隐匿：不将客体的存在告知主体，以期待主体不会发现。

加密

对非预期的接受者隐藏通信的真实含义

2.3 安全边界

安全边界是具有不同安全要求或需求的任意两个区域、子网或环境之间的交界线。

物理环境和逻辑环境之间也存在安全边界，物理安全和逻辑安全是完全不同的必须作为安全解决方案的不同元素进行评估。

逻辑边界是组织在法律上负有责任的设备或服务的电子通信接口点。

物理环境中的安全边界通常与逻辑环境的安全边界相对应。

3. 评估和应用安全治理原则

3.1 安全功能与业务战略、目标、使命和宗旨保待一致

最能有效处理安全管理计划的一个方法是自上而下方法。

上层、高级或管理部门负责启动和定义组织的策略。安全策略为组织架构内的各个级别提供指导。

中层管理人员负责将安全策略落实到标准、基线、指导方针和程序。

操作管理人员或安全专业人员必须实现安全管理文档中规定的配置。

最终用户必须遵守组织的所有安全策略。

安全管理计划团队应该制订三种类型的计划：

战略计划(strategicplan) 是一个相对稳定的长期计划。它定义了组织的安全目的，也定义了安全功能，并使其与组织的目标、使命和宗旨相一致。如果每年进行维护和更新，战略计划的有效期大约是5年。战略计划也可被视为愿景规划。战略计划中讨论了未来的长期目标和愿景。战略计划还应包括风险评估。 战术计划(tacticalplan) 是中期计划，为战略计划中设定的目标提供更多细节，该计划也可根据不可预测的事件临时制订。战术计划通常在一年左右的时间内有用，通常规定和安排实现组织目标所需的任务。战术计划的一些示例包括项目计划、收购计划、招聘计划、预算计划、维护计划、支持计划和系统开发计划。 运营计划/操作计划(operationalplan) 是在战略计划和战术计划的基础上制订的短期、高度详细的计划。操作计划只在短时间内有效或有用。操作计划必须经常更新（如每月或每季更新），以保持其与战术计划的一致性。操作计划阐明了如何实现组织的各种目标，包括资源分配、预算需求、人员分配、进度安排与细化或执行程序。操作计划包括执行流程与组织安全策略的合规性细节。操作计划的示例包括培训计划、系统部署计划和产品设计计划。

3.2 组织流程（如收购、资产剥离、治理委员会）

3.2.1 收购

收购与兼并会提升组织的风险等级，这些风险包括不恰当的信息泄露、数据丢失、停机或未能获得足够的投资回报率(return on investment, ROI)。除了所有兼并与收购中的典型业务和财务方面，为了降低在转型期间发生损失的可能性，良好的安全监督和加强的审查通常也是极其盘要的。

3.2.2 资产剥离

资产剥离或任何形式的资产减少或员工裁减都会增加风险，进而增加组织对集中安全治理的需求。应对资产进行净化以防止数据泄露。应该删除和销毁存储介质，因为介质净化处理技术不能保证残留数据不会被恢复。对于不再负责相关事宜的员工，应询问其工作完成情况，该过程通常称为离职面谈。这一过程通常包括审查所有保密协议以及其他任何在雇佣关系终止后仍继续生效的约束合同或协议。

3.3 组织得角色与责任

高级管理者 组织所有者（高级管理者）角色被分配给最终对组织安全的维护负责及最关心资产保护的人员。高级管理者必须在所有策略问题上签字。如果缺少高级管理者的授权和支持，安全策略就无法生效。高级管理者将对安全解决方案的总体成功或失败负责，而且在为组织建立安全方面有贡任实施应尽关心和尽职审查。尽管高级管理者最终负责安全，但他们很少直接实施安全解决方案大多数情况下，这种责任被分配给组织内的安全专业人员。

安全专业人员 安全专业人员、信息安全官(InfoSec)或计算机事件响应小组(computer incident response team, CIRT)的角色袚分配给受过培训和经验丰富的网络、系统和安全工程师门，他们负责落头高级管理者下达的指示。安全专业人员的职责是保证安全性，包括编写和执行安全策略。安全专业人员可被称为 IS/IT 功能角色，不过相比于功能，他们更关注安全保护。安全专业人员角色通常由一支团队担任，该团队负责根据已批准的安全策略设计和实现安全解决方案。安全专业人员不是决策者，而是实施者。所有决策都必须由高级管理者定夺。

资产所有者 资产所有者(asset owner)角色将被分配给在安全解决方案中负责布置和保护信息分类的人员。资产所有者通常是高级管理人员，他们最终对资产保护负责。然而，资产所有者通常将实际数据管理任务的责任委托给托管员。

托管员 托管员(custodian)角色被分配给负责执行安全策略与高级管理者规定的保护任务的人员。托管员执行所有必要的活动，为实现数据的 CIA 三元组（保密性、完整性和可用性）提供充分的数据支持，并履行上级管理部门委派的要求和职责。这些活动包括执行和测试备份、验证数据完整性、部署安全解决方案以及基千分类管理数据存储。

用户用户（最终用户或操作者）角色被分配给任何能访问安全系统的人员。用户的访问权限与他们的工作任务相关并受其限制，因此他们只有足以执行工作岗位所需的任务的访问权限（最小特权原则）。用户有责任遵守规定的操作程序并在规定的安全参数内进行操作，从而理解和维护组织的安全策略。

审计人员 审计人员(auditor)负责审查和验证安全策略是否被开确执行，以及相关的安全解决方案是否完备。审计人员出具由高级管理者审核的合规性和有效性报告。高级管理者将在这些报告中发现的问题当作新的工作内容分配给安全专业人员或托管员。

3.4 安全控制框架

3.4.1 信息和相关技术控制目标(COBIT)

COBIT基于六个关键原则进行企业IT治理和管理。：

原则1: 为利益相关方创造价值

原则2: 采用整体分析法

原则3: 动态地治理系统

原则4: 把治理从管理中分离出来

原则5: 根据企业需求量身定制

原则6: 采用端到端的治理系统

3.4.2 其它框架

NIST SP 800-53 Rev.5“信息系统和组织的安全和隐私控制“，包含了美国政府为组织安全提供的通用性建议。

互联网安全中心(CIS)，提供针对操作系统、应用程序和硬件的安全配置指引。

NIST 风险管理框架(RMF), 对联邦机构制定了强制性要求。 RMF分为六个阶段：分类、选择、实施、评估、授权和监控。

NIST 网络安全框架(CSF), 为关键基础设施和商业组织而设计，由识别、保护、检测、响应和恢复这五个功能构成。它是对将在持续进行基础上执行的业务活动的规定，以便随着时间的推移支持和改进安全。

IS0/IEC 27000 系列，国际标准，可作为实施组织信息安全及相关管理实践的基础。

信息技术基础设施库(Information Technology Infrastructure Library, ITIL)，最初由英国政府制订，是一套被推荐的优化IT服务以支持业务增长、转型和变革的最佳实践。 ITIL 的垂点是理解1T和安全需求如何与组织目标进行集成并保待一致。当在已建立的基础设施中制订IT安全解决方案时， ITIL和操作流程通常被用作起点。

3.5 应尽关心和尽职审查

尽职审查是指制订计划、策略和流程以保护组织的利益。应尽关心指的是实践那些维持应尽关心工作的活动。

尽职审查是指制订一神正式的安全框架，其中包含安全策略、标准、基线、指南和程序。应尽关心是指将这种安全框架持续应用到组织的IT基础设施上。

运营安全指组织内的所有责任相关方持续实施应尽关心和尽职审查。尽职审查是知道应该做什么并为此制订计划，而应尽关心是在正确的时间采取正确的行动。

4. 确定合规和其他要求

4.1 合同、法律、行业标准和监管要求

4.1.1 法律的分类

美国的法律系统中有三种主要的法律类型。每种法律都被用来应对各种不同情况，在不同类别的法律下，对违法行为的处罚差别也很大。它们分别是刑法、民法、政法。

4.2 隐私保护

如果打算监控员工的通信，应采取合理的预防措施，以确保其中没有隐含的隐私预期。下面是一些可供参考的常见措施：

雇佣合同的条款规定雇员在使用公司设备时没有隐私预期。

在公司可接受的使用方式和隐私政策中作出类似的书面声明。

在登求框中警示所有通信都受到监控。

在计算机和电话上贴上监控警示标签。

5. 全面理解全球范围内与信息安全相关的法律和监管问题

5.1 网络犯罪和数据泄露

5.1.1 《计算机欺诈和滥用法案》

《计算机欺诈和滥用法案》(CFAA)是美国针对网络犯罪的第一项重要立法，其作为《全面控制犯罪法》(CCCA) 的一部分。

法案的适用范围：

美国政府专用的计算机。

金融机构专用的计算机。

政府或金融机构使用的计算机，如果其被破坏，会妨碍政府或金融机构使用系统。

被组合起来实施犯罪的不在同一个州的所有计算机。

监管范围：

对联邦计算机系统造成的恶意损失超过5000美元的行为。

针对涉及“联邦利益”的所有计算机

5.1.2 CFAA修正案

即《1994年计算机滥用修正案》，其中包括以下条款：

宣布创建任何可能对计算机系统造成损害的恶意代码的行为是不合法的。

修改CFAA, 使其适用于州际贸易中使用的所有计算机，而不仅适用于涉及“联邦利益”的计算机系统。

允许关押违法者，不管他们是否造成实际损害。

为计算机犯罪的受害者提供了提起民事诉讼的法律授权，使他们可通过民事诉讼获得法令救济和损害赔偿。

5.1.3 1996 年的美国《国家信息基础设施保护法案》

《国家信息基础设施保护法案》包括以下这些主要的新领域：

扩大CFAA范围，使其涵盖国际贸易中使用的计算机系统以及州际贸易中使用的系统。

将类似的保护扩展到计算系统以外的其他国家基础设施，如铁路、天然气管道、电网和电信线路。

将任何对国家基础设施关键部分造成损害的故意或鲁莽行为视为重罪。

5.1.4 联邦量刑指南

1991 年颁发的联邦量刑指南为联邦法官判决计算机犯罪提供了处罚指南。指南中三个主要条款对信息安全界产生了持久影响。

指南正式提出谨慎人规则，该规则要求高级管理人员为“应尽关心”而承担个人责任。这条规则从财务职责领域发展而来，也适用于信息安全方面。

指南允许组织和高级管理人员通过证明他们在履行信息安全职责时实施了尽职审查，将对违规行为的惩罚降至最低。

指南概述了关于疏忽的三种举证责任。首先，被指控疏忽的人必定负有法律上不可推脱的责任。其次，被指控人员必定没有遵守公认的标准。最后，疏忽行为与后续的损害之间必然存在因果关系。

5.1.5《联邦信息安全管理法案》（FISMA）

2002 年通过的《联邦信息安全管理法案》 (FISMA)要求联邦机构实施涵盖机构运营的信息安全程序。 FISMA 还要求政府机构将合同商的活动纳入安全管理程序。及目标对象为联邦机构和政府承包商。

5.1.6 2014 年的联邦网络安全法案

基于2002 年通过的《联邦信息安全管理法案》 (FISMA)的修订，修订内容：

将联邦网络安全责任集中到美国国土安全部

与国防相关的网络安全问题仍由美国国防部负责

美国国家情报机构负责与情报相关的问题

要求NIST负责协调全国范围内的自发网络安全标准工作，NIST 的常用标准：

NIST SP 800-53: 联邦信息系统和组织的安全和隐私控制。该标准适用千联邦计算系统也常被用作行业网络安全基准。

NIST SP 800-171：保护非联邦信息系统和组织中受控的非分类信息。遵守该标准的安全控制（与NISTSP 800-53 的安全控制非常相似）经常被列入政府机构的合同要求。联邦承包商通常必须遵守NISTSP 800-171。

NIST 网络安全框架(CSF)，这套标准旨在充当自发的基千风险的框架，用千保护信息和系统。

《国家网络安全保护法》，这部法律要求美国国士安全部建立集中的国家网络安全和通信中心。该中心充当联邦机构和民间组织之间的接口，共享网络安全风险、事件、分析和警告。

5.2 许可和知识产权（IP）要求

5.2.1 版权法和《数字千年版权法》

版权法创建了颁发和执行版权的机制，并提供了一个相当长的保护期。对于一个或多个作者的作品，其被保护的时间是最晚去世的作者离世后的70年。因受雇而创作的作品和匿名作品被保护的时间是：第一次发表日期后的95年，或从创建之日起的 120年，这两个时间中较短的一个。

1998 年，国会颁布了备受争议的《数字千年版权法》 (DMCA)：

防止数字介质（如CD和DVD) 的复制，图书馆和学校等非营利机构不受这一条款的约束。

当罪犯利用 ISP 线路从事违反版权法的活动时 ISP 应该承担的责任。

服务提供商必须在收到侵权通知后立即采取行动，删除受版权保护的内容。

允许备份计算机软件和任何维护、测试或复制软件的日常使用活动。这个规定仅适用于被许可在特定计算机上使用的软件，其使用符合许可协议，而且当这些备份个再被许可的活动需要时应当立刻被删除。

DMCA 说明了版权法条款在互联网上音频和I或视频数据流中的应用。 DMCA声明，这些使用被视为“合格的非预期传输＂。

5.2.2 商标

如果在公共活动过程中用到某个商标，你会自动获得相关商标法律的保护，可使用TM符号来表明你想将文字或标语当作商标来保护。如果想要官方认可你的商标，可向美国专利商标局(USPTO)注册。一旦收到来自 USPTO 的注册证书，即可使用 ＠符号 来表示这是已注册的商标。

注册条件：

该商标不能是所提供的产品与服务的说明。

该商标不能与其他商标类似，以免造成混淆。

商标批准后的初始有效期为10年，到期后可按每次10年的有效期延续无数次。

5.2.3 专利

专利提供了自发明之日起（自首次申请之日起）20 年的保护期限，在此期间发明者具有独家使用该发明的权利（且接使用或通过许可协议便用）。在专利专有期结束后，该发明在公共领域允许任何人使用。

专利有三个重点：

发明必须具有新颖性。

发明必须具有实用性。

发明必须具有创造性，不能平淡无奇。

外观专利：这些专利涵盖了发明的外观，仅持续15年。它们不保护发明的想法，只保护发明的形式。

5.2.4 商业秘密

必须采取措施证明你重视并保护了知识产权，否则可能导致商业秘密保护的失效。

保护商业秘密是保护计算机软件的最佳方法之一。如前所述，专利法没有对计算机软件产品提供足够的保护。版权法只保护源代码的实际文本，并不禁止其他人以不同形式重写代码并实现同一目标。如果将源代码视为商业秘密，那么首先需要避免竞争对手拿到源代码。

《经济间谍法案》条款真正保护商业秘密所有者的知识产权。这项法律的执行要求公司采取充分的措施，确保他们的商业秘密得到很好的保护，而不是被意外地放入公共领域。

5.2.5 许可

合同许可协议使用书面合同，列出软件供应商和客户之间的责任。

开封生效许可协议被写在软件包装的外部。

单击生效许可协议正变得北开封生效许可协议更常见。

云服务许可协议将单击生效许可协议发挥到了极致。

5.3 进口/出口控制

5.3.1 计算机出口控制

美国企业可向几乎所有国家出口高性能计算系统，而不必事先得到政府的批准。

5.3.2 加密技术出口控制

几乎不可能从美国出口任何加密技术，即使是较低级别的加密技术

5.4 跨境数据流

在跨境传输信息时，应特别关注GDPR。

组织可以采用一套标准合同条款，这些条款已获准用千将信息传输到欧盟以外的情况。这些条款可在欧盟网站找到并可集成到合同中。（小型组织）

组织可以采用具有约束力的公司规则来管理同一公司内部单位之间的数据传输。这是一个非常耗时的过程这些规则必须得到每个将要使用它们的欧盟成员国的批准，所以通常这个方法只被规模非常大的组织所采用。（大型组织）

5.5 隐私

5.5.1 美国隐私法

5.5.1.1 《隐私法案》

《隐私法案》严格限制联邦政府机构在没有事先得到当事人书面同意的情况下向其他人或机构透露隐私信息的能力。它还规定了人口普查、执法、国家档案、健康和安全以及法院命令等方面的例外情况。

《隐私法案》规定政府机构只保留业务运作所需的记录，并在政府的合法职能不再需要这些记录时销毁它们。

5.5.1.2 《电子通信隐私法案》

《电子通信隐私法案》 (ECPA)将侵犯个人电子隐私 的行为定义为犯罪，适用于任何非法拦截电子通信或未经授权访问电子存储数据的行为。ECPA 最著名的规定是，将对手机通话的监听 定义为非法。

该法案可防止对电子邮件和语音邮件通信的监控，并防止这些服务的提供者对其内容进行未经授权的披露。

5.5.1.3 《通信执法协助法案》

《通信执法协助法案》 (CALEA)要求所有通信运营商，无论使用何种技术，都要允许持有适当法院判决的执法人员进行窃听。

5.5.1.4 《经济间谍法案》

1996年颁布的《经济间谍法案》扩大了财产的定义，使其包括专有经济信息，从而可将窃取这类信息的行为视为针对行业或企业的间谍行为。这还改变了偷窃的法律定义，使其不再受物理约束的限制。

5.5.1.5 《健康保险流通与责任法案》（HIPAA）

HIPAA的规定包括隐私和安全法规，要求医院、医生、保险公司和其他处理或存储私医疗信息的组织采取严格的安全措施。

HIPAA还明确规定了作为医疗记录主体的个人 的权利，并要求维护这些记录的组织以书面形式表明这些权利。

5.5.1.6 《健康信息技术促进经济和临床健康法案》（HITECH）

《健康信息技术促进经济和临床健康法案》 (HITECH)对 HIPAA进行了修订。

根据HITECH 违约通知规则，受HIPAA 约束的实体如果发生数据泄露，则必须将信息泄露情况告知千受影响的个人；当信息泄露影响到超过 500 人 时，必须通知卫生与社会服务部门和媒体。

5.5.1.7 《数据泄露通知法案》

加州通过了 SB 1386 法案，法案要求的个人身份信息包括：

社会安全号码。

驾驶执照号码。

国家身份识别卡号码。

信用卜或借记卡号码。

与安全代码、访问代码或口令相结合的银行账户号码，允许对账户进行访问。

医疗记录。

健康保险信息。

5.5.1.8 《儿童在线隐私保护法》

2000年4月，《儿童在线隐私保护法》(COPPA) 的实施细则正式生效，COPPA对关注儿童或有意收集儿童信息的网站提出一系列要求。

网站必须有隐私声明，明确说明所收集信息的类型和用途，包括是否有任何信息泄露给第三方。隐私通知还必须包含网站运营商的联系信息。

必须向父母提供机会，使其能够复查从孩子那里收集的任何信息，并可从网站记录中永久删除这些信息。

如果儿童的年龄小于13 岁 ，那么在收集任何信息前，必须征得其父母的同意。法律中有例外情况，允许网站为获得父母的同意而收集最少量的信息。

5.5.1.9《Gramm-Leach-Bliley法案》

直到《Gramm-Leach-Bliley法案》 (GLBA) 于 1999 年成为法律，美国对金融机构才有了严格的监管规定。银行、保险公司和信贷提供商在提供服务和分享信息方面受到严格限制。

该法案包含对同一公司的子公司之间交换的多类信息的限制，并要求金融机构向所有客户提供书面的隐私政策。

5.5.1.10《美国爱国者法案》

《美国爱国者法案》提供了拦截和阻止恐怖主义所需的适当法律工具。《美国爱国者法案》大大扩展了执法机构和情报机构在多个领域的权力，包括对电子通信的监控。

《美国爱国者法案》中有条款允许官方机构获得针对个人的一系列监听授权，然后可根据这一项授权监听某个人的所有通信线路。

网络服务提供商可自愿向政府提供大量信息。《美国爱国者法案》还允许政府通过传票获取用户活动的详细信息（而非监听）。

《美国爱国者法案》规定了最长20年的监禁，再次扩大了CFAA的适用范围。

美国国会在2015年6月通过了《美国自由法案》，其中保留了《美国爱国者法案》中的关键条款。这些条款于2020年3 月再次过期，截至本书付印时，尚未更新。《美国爱国者法案》监管效力的未来状态是不确定的。

5.5.1.11 《家庭教育权利和隐私法案》

《家庭教育权利和隐私法案》 (FERPA)是另一种特殊的隐私法案，影响着所有接受联邦政府资助的教育机构（绝大多数学校）。该法案对 18岁以上的学生和未成年学生的父母赋予了明确的隐私权。 FERPA 的具体保护措施包括：

父母／学生有权检查学校对学生的任何教育记录。

父母／学生有权要求更正他们认为错误的记录，并有权将其对任何未更正记录的声明陈述纳入记录中。

除特殊情况外，学校不得在未经书面同意的情况下公布学生记录中的个人信息。

5.5.1.12 《身份盗用与侵占防治法》

该法案将身份盗用定义为针对被盗用身份个人的犯罪行为，并规定对所有违法人员处以严厉处罚（最多可判处 15 年的监禁和／或25 万美兀的罚款）。

5.5.2 欧盟隐私法

5.5.2.1 欧盟数据保护指令(DPD)

是世界上第一部基础广泛的隐私法。 DPD要求所有对个人数据的处理符合以下标准之一：

同意

合同

法律义务

数据主体的重大利益

平衡数据所有者和数据主体之间的利益

该法令还概述了持有和/或处理数据的个人的关键权利：

访问数据的权利

有权知道数据的来源

纠正不准确数据的权利

某些情况下不同意处理数据的权利

这些权利被侵犯时可采取法律行动的权利

当欧盟公民的个人信息离开欧盟时，那些发送数据的人必须确保数据仍受到保护。

5.5.2.2《通用数据保护条例》

《通用数据保护条例》 (GDPR)于 2018 年生效，取代了之前的数据保护指令(DPD)。适用于所有收集欧盟居民数据或代表收集数据的人员处理这些信息的组织。重要的是，这项法律甚至适用于收集欧盟居民信息的非欧盟组织。

GDPR 的一些主要规定如下：

合法、公平和透明意味着你必须有处理个人信息的法律依据，不得以误导或损害数据主体的方式处理数据，并且你必须对数据处理活动保持公开和诚实的态度。

目的限制是指你必须清楚地记录和披露你收集数据的目的，并将你的活动限制为披露的目的。

数据最小化意味着你必须确保所处理的数据能满足你的既定目的，并且仅限于你为此目的实际需要的数据。

准确性是指你收集、创建或维护的数据是正确的且没有误导性，维护更新的记录，并且更正或删除不准确的数据。

存储限制表明，你仅在实现合法、公开目的所需的时间内保留数据，并且遵守“遗忘权”，允许人们要求公司在不再需要时删除他们的信息。

安全性表示你必须有适当的完整性和保密性控制来保护数据。

问责制表明，你必须对针对受保护数据采取的行动负责，并且必须能够证明你的合规性。

5.5.3 加拿大隐私法

《个人信息保护和电子文件法》 (PersonalInformation Protection and Electronic Documents Act, PIPEDA)，它是一项限制商业公司如何收集、使用和披露个人信息的国家法律。

加拿大政府提供了 PIPEDA涵盖的以下信息示例：

种族、民族或种族本源

宗教

年龄

婚姻状况

医疗、教育或工作经历、财务信息

身份识别号码

员工绩效记录

该法律排除了不符合个人信息定义的信息，包含由加拿大信息专员提供的以下示例：

与个人无关的信息，因为与个人的联系太弱或太疏远。

关于组织（比如企业）的信息。

匿名信息，前提是无法将该数据链接到可识别的人员。

关于公务员的某些信息，例如他们的姓名、职位和头衔。

组织收集、使用或披露的个人业务联系信息，其唯一目的是与该人员就相关的就业、业务或职业情况进行沟通。

PIPEDA通常不适用千非营利组织、市政当局、学校和医院。

5.5.4 州隐私法

《加州消费者隐私法案》 (CCPA)为消费者提供下列权力：

了解企业正在收集哪些信息以及组织如何使用和共享该信息的权利。

被遗忘的权力，允许消费者在某些情况下要求组织删除他们的个人信息。

选择不出售其个人信息的权利。

行使其隐私权的权利，而不必担心因使用而受到歧视或报复。

6. 了解各类调查的要求（即行政、刑事、民事、监管、行业标准）

6.1 行政调查

行政调查属于内部调查，它检查业务问题或违反组织政策的行为。运营型调查对信息收集的标准是比较宽松的，不需要拿出特别详细且充分的调查证据，因为解决问题是首要目标。

6.2 刑事调查

刑事调查通常由执法者进行，是针对违法行为进行的调查。刑事调查的结果是指控犯罪嫌疑人以及在刑事法庭上起诉。

多数犯罪案件必须满足超越合理怀疑的证据标准。为此，刑事调查必须遵循严格的证据收集和保存流程。

6.3 民事调查

民事调查通常不涉及执法，但涉及让内部员工和外部顾问代表法律团队工作。他们会准备在民事法庭陈述案件所需的证据来解决双方之间的纠纷。

大多数民事案件不会遵循超出合理怀疑证据的标准。相反，它们使用较弱的优势证据标准。要达到这一标准，只要求证据能够说明调查结果是可信赖的。

6.4 监管调查

政府机构在他们认为个人或企业已违反行政祛规时会执行监管调查，监管机构通常会在他们认为可能发生的地点进行调查。监管调查范围比较广泛，常由政府工作人员执行。

6.5 行业标准

一些监管调查可能不涉及政府机构，相反，它们基于行业标准，如支付卡行业数据安全标准(PCI DSS)。这些行业标准不是法律，而是相关组织达成的合同义务。

7. 制订、记录和实施安全策略、标准、程序和指南

一旦设定主要的安全策略，就可在这些策略的指导下编制其他安全文档。

标准——对硬件、软件、技术和安全控制方法的一致性定义了强制性要求。

标准——提供了在整个组织中统一实施技术和程序的操作过程。

基线定义了整个组织中每个系统必须满足的最低安全级别。基线是一种更注重操作的标准形式。所有不符合基线要求的系统在满足基线要求之前都不能上线生产。

基线通常是系统特定的，一般参考行业或政府标准。

指南是规范化安全策略结构中基线的下一级元素。指南提供了关千如何实现标准和基线的建议，并且是安全专业人员和用户的操作指南。

8. 业务连续性(BC)需求的识别、分析与优先级排序

BCP流程有四个主要阶段：

项目范围和计划

业务影响分析（BIA）

连续性计划

计划批准和实施

8.1 业务影响分析（BIA）

业务计划者在进行决策时，必须意识到需要使用以下两种不同类型的分析方法。

定量影响评估涉及使用数字和公式得出结论的过程。这类数据结果通常用货币价值表示与业务相关的选项。

定性影响评估考虑非数字因素，如声誉、投资者/客户信心、员工稳定性和其他相关事项。这类数据结果通常用优先级别（如高、中、低）表示。、

BCP 团队更倾向千使用数字进行定量评估，而忽略更主观的定性评估结果。

8.1.1 确定优先级

BCP 团队需要一起制订组织资产清单，并为每项资产分配货币形式的资产价值(AV)。这些数值构成在后续BIA过程中进行风险计算的基础。

BCP 团队必须开发的第二个量化指标是MTD（Maximum tolerable downtime, 最大允许中断时间），有时也被称为最大容忍中断时间(maximum tolerable outage, MTO)。 MTO是业务功能出现故障但不会对业务产生无法弥补的损害所允许的最长时间。

每个业务功能的恢复时间目标(recoverytime objective, RTO) 是指中断发生后实际恢复业务功能所需的时间。

当执行BCP工作时，应确保业务功能的RTO小于其MTD, 这可使一个业务功能不可用的时间永远不会超过最大允许中断时间。

恢复点目标(recovery point objective, RPO) 相当于在数据丢失时间上的 RTO， RPO 定义了事件发生前组织应该能够从关键业务流程中恢复数据的时间知。

8.1.2 风险识别

风险可分为两种类型：自然风险和人为风险。

BIA 过程的风险识别部分本质上是纯粹的定性分析。

8.1.3 业务影响分析和云计算

根据云服务的性质，提供商自身的业务连续性计划可能对组织的业务运营产生重大影响。

合同通常不足以证实尽职审查的实施，应该去验证他们是否有适当的控制措施来履行合同承诺。虽然你可能无法亲自考察提供商设施来验证其控制的实施情况，但可选择让其他人代为考察！

8.1.3.1 SOC报告

SOC报告有三种不同版本。最简单的一种是SOC-1 报告，仅涵盖财务报告的内部控制。如果要验证安全性、隐私和可用性方面的控制，则需要查看SOC-2或SOC-3报告。

8.1.4 可能性评估

业务影响分析的下一阶段症是确定每种风险发生的可能性，即年度发生率(ARO), 它反映企业每年预期遭受特定火难的次数。通过计算年度发生率，可简化不同风险规模的比较。

BCP 团队应该一起为上一节中识别出的每种风险确定ARO。这些数据应基千公司历史、团队成员的专业经验以及专家（如气象学家、地震学家、防火专业人员和其他顾问等，根据需要选择）的建议。

8.1.5 影响分析

从定量的角度看，此阶段将涉及三个具体指标：暴露因子、单一损失期望和年度损失期望。

暴露因子(EF)是风险对资产迼成的损害程度，以资产价值的百分比表示。列如，如果BCP 团队咨询消防专家并确定建筑物发生火灾后将导致70％的建筑物被摧毁，那么建筑物火灾的暴露因子将是70%。

单一损失期望(SLE)是每次风险发生后预期造成的货币损失。即如果建筑物价值是500000美元，那么单一损失期望就是500000美元的 70%，即 350000 美元。可解释为：若建筑物发生一次火灾，预计将造成 350000 美元的损失。

年度损失期望(ALE)是在一个普通年份内由千风险危害资产而给公司带来的预期货币损失。 SLE 是每次风险发生后预期造成的货币损失， ARO（来自可能性分析）是风险每年预期发生的次数。可将这两个数字简单相乘来计算ALE:

再回到前面提到的建筑物示例，如果火灾专家预测建筑物每30年会发生一次火灾，这就具体给出［在任何给定年中发生火灾的可能性，即0.03。 ALE则是350000美元SLE 的 3%, 即 10 500 美元。可将这个数字解释为：巾丁建筑物失火，公司每年预期将损失10500美元。

从定性角度看，你必须考虑中断可能对业务产生的、不能以货币价值衡量的影响。例如，可能需要考虑以下事项：

在客户群中丧失的信誉

长时间停工后造成员工流失

公众的社会／道德责任

负面宣传

8.1.6 资源优先级排序

BIA 的最后一步是划分针对各种风险所分配的业务连续性资源的优先级，前面的BIA任务己对这些风险进行了识别和评估。

定量角度——这个过程相对简单。只需要创建一个在BIA过程中分析过的所有风险的列表，并根据影响分析阶段计算的ALE按降序对其进行排序。

定性角度——可证实对风险优先级的提高或降低是否正确，这些风险存在于定量分析结果列表中并按ALE排序。

8.2 制订并记录范围和计划

具体流程取决于组织及其业务的规模和性质。业务连续性计划没有“放之四海而皆准” 的指南。

8.2.1 组织分析

负责业务连续性计划的人员的首要职责之一是对业务组织进行分析，以识别与BCP流程具有利害关系的所有部门和个人。需要考虑的范围如下：

负责向客户提供核心服务业务的运营部门。

关键支持服务部门，如IT部门、设施和维护人员以及负责维护支持运营部门系统的其他闭队。

负责物理安全的公司安全团队。他们在多数情况下是安全事故的第一响应者，也负责主要基础设施和备用处理设施的物理保护。

高级管理人员和对组织持续运营来说至关重要的其他人员。

制定业务连续性计划时，务必考虑总部和全部分支机构所处的位置。该计划应考虑到组织开展业务的任何地点（包括组织自身的物理位置和云服务提供商的物理位置）可能发生的灾难。

8.2.2 选择BCP团队

BCP 团队应至少包括下列人员：

负责执行业务核心服务的每个组织部门的代表。

根据组织分析确定的来自不同职能区域的业务单元团队成员。

BCP 所涉领域内拥有技术专长的IT专家。

掌握BCP流程知识的网络安全团队成员。

负责工厂实体物理安全和设施管理的团队。

熟悉公司法规、监管和合同责任的律师。

可解决人员配置问题以及对员工个人产生影响的人力资源团队成员。

需要制订类似的计划以确定在发生中断时如何与利益相关方和公众进们沟通的公共关系团队成员。

高级管理层代表，这些代表能设定愿景，确定优先级别和分配资源。

8.2.3 资源需求

这项评估涉及BCP 的三个不同阶段所需的资源。

BCP 开发 BCP 团队需要一些资源来执行BCP流程的四个阶段（项目范围和计划、业务影响分析、连续性计划以及计划批准和实施）。这个BCP阶段主要耗费人力资源，即BCP团队成员和召集过来协助制订计划的支持人员所付出的人力。

BCP 测试、培训和维护 BCP 的测试、培训和维护阶段将需要一些硬件和软件资源；同样，这个阶段的主要资源是参与这些活动的员工付出的人力。

BCP 实施 当灾难发生且BCP 团队认为有必要全面实施业务连续性计划时，将需要大量资源。这些资源包括大量实施工作(BCP 可能成为组织关注的重点）和直接的财务费用。出于这个原因， BCP 团队必须果断且明智地使用其BCP实施权力。

8.2.4 法律和法规要求

受到联邦、州和地方法律或法规约束的许多行业可能发现，这些法律或法规要求他们实施不同程度的BCP。

9. 促进并执行人员安全策略和程序

在听有安全解决方案中，人员经常被视为最脆弱的元素。

9.1 候选人筛选和招聘

为保证岗位的安全性，候选人筛选、背景调查、推荐信调查、学历验证和安全调查验证都是证实有能力的、有资质的和值得信任的候选人的必备要素。

9.2 入职、雇佣协议及策略

聘用新员工时，应该签署雇佣协议。该协议文件概述了组织的规则与限制、安全策略、详细的岗位描述、违规行为和后果，以及员工担任该职位的最短期限或试用期。这些内容也可能被写在不同的文档中，例如可接受的使用策略(AUP)。

可接受的使用策略(AUP) 定义了哪些针对公司设施和资源的活动、实践或使用是可以接受的，以及哪些是不可以接受的。可接受的使用策略专门用于分配组织内的安全角色，并规定与这些角色相关的职责。该策略定义了可接受的性能级别及期望的行为和活动。如果不遵守该策略，可能导致工作行为警告、处罚或解聘。

为保证安全，应按最小特权原则分配访问权限。

除了雇佣协议，可能还需要确认与安全相关的其他文件。常见的文件之一是保密协议 (nondisclosure agreement, NDA)。NDA 用于防止在职或已离职的员工泄露组织的机密信息。违反保密协议的行为通常会受到严厉惩罚。

9.3 离职、调动和解雇流程

离职是与入职相反的一个流程，指在员工离开公司后，将其身份从IAM系统删除。不过当员工被调动到组织内的新岗位时，特别是当员工要调动到不同的部门、设施或者物理位置时，也可能要使用离职流程。人员调动可能被视为开除/重新雇用，而不是人员移动。

无论是作为开除/重新雇用、调动，还是作为退休或解雇的一部分，一个完整的离职流程可能包括禁用和/或删除用户账户、撤销证书、取消访问代码以及终止其他被特别授予的特权。

通常要禁用以前员工的账户，以便将其身份信息保留几个月以进行审计。在规定的时间期限之后，如果没有发现与前雇员账户有关的事件，则可将其从IAM系统中完全删除，避免发生安全事件后无法追踪。

对于有问题的员工，应该解雇他们，而不是通过内部员工调动将其调到不同的部门。

离职流程还可能要求通知保安人员和其他物理设施与资产访问管理人员，以后不再允许该员工进入。

以下是一些需要尽快处理的其他安全事宜：

在员工收到解雇通知的同时或在此之前，移除或禁用该员工的用户账户。

确保员工已将其交通工具中与家中的所有公司设备或用品们还。

安排一名安保人员陪同被解雇员工在工作区域收拾个人物品。

通知所有安保人员、巡查人员或监控出入口的人员，以确保前雇员在没有护送的情况下无法再次进入办公大楼。

解雇：时间就是一切

9.4 供应商、顾问和承包商的协议和控制

使用服务水平协议(SLA) 是一种确保提供服务的组织在服务提供商、供应商或承包商以及客户组织达成协议的基础上保持适当服务水平的方法。

SLA应用于任何数据电路、应用程序、信息处理系统、数据库或其他对组织持续生存至关重要的关键组件中。

外包可以作为一种风险应对选项，称为转移或转让风险。然而，尽管内部操作功能的风险被转移到第三方，但第三力操作的使用也会引入其他风险。需要评估外包风险，以确定其对SLA的影响是正面的还是负面的。

9.5 合规策略要求

合规是符合或遵守规则、策略、法规、标准或要求的行为。

合规是一种行政或管理的安全控制形式，因为它关注策略和遵守这些策略的人员（以及组织的IT和物理元素是否遵守策略）。

合规执法是指对未能遵守策略、培训、最佳实践和／或法规而实施的制裁或后果。此类执法工作可以由首席信息安全官(CISO)或首席安全官(CSO)、员工经理和监督人员、审计员和第三方监管人员执行。

9.6 隐私策略要求

许多法案中都有关于隐私的要求，如《健康保险流通与责任法案》(Health Insurance Portability and Accountability Act, HIPAA)、 2002 年的《萨班斯－奥克斯利法案》 (Sarbanes-Oxley Act, SOX)、《家庭教育权利和隐私法案》 (Family Educational Rights and Privacy Act, FERPA)和《金融服务现代化法案》，以及欧盟的《通用数据保护条例》 (GDPR)（条例[EU]2016/679)，其中都包含了对隐私的要求。

组织的财务审计员可进行IT控制审计，以确保组织财务系统的信息安全控制遵守《萨班斯－奥克斯利法案》 (SOX)。

无论个人或组织的立场如何，组织安全策略都必须提及在线隐私问题。

10. 理解并应用风险管理概念

风险管理是一个详细的过程，包括识别可能造成资产损坏或泄露的因素，根据资产价值和控制措施的成本评估这些因素，并实施具有成本效益的解决方案来减轻风险。

风险管理的主要目标是将风险降至可接受的水平。风险管理是由风险评估和风险响应这两个基本要素组成的。

风险评估或风险分析是指检查环境中的风险，评估每个威胁事件发生的可能性和实际发生后造成的损失，并评估各和风险控制措施的成本。这个结果可用于对风险优先级的关键级别进行排序。在此之后，就可以开始进行风险响应。

风险响应包括使用成本／收益分析的方式评估风险控制措施、防护措施和安全控制，根据其他条件、关注事项、优先事项和资源调整评估结果，并在向高级管理层汇报的报告中给出建议的响应方案。

风险意识是为提高组织内部风险认知而开展的工作。这包括了解资产的价值，盘点可能损害这些资产的现有威胁，以及为解决已识别的风险而选择和实施控制措施。风险意识有助于组织了解遵守安全策略的重要性以及安全失效的后果。

10.1 识别威胁和脆弱性

风险管理的一个基础部分是识别与检查威胁。这涉及为组织已识别的资产创建一个尽可能详尽的威胁列表。该列表应该包括威胁主体以及威胁事件。重要的是记住威胁可能来自任何地方。对IT 的威胁不仅限千IT方面。在编制威胁列表时，一定要考虑到各种来源的威胁。

执行风险评估和分析的应该是一个团队，而不是单独的个人。而且，团队成员应该来自组织内的各个部门。

10.2 风险评估/分析

风险评估/分析主要是高层管理人员的职责。不过，高级管理人员通常会把风险分析和风险响应建模的实际执行任务分配给IT和安全部门的团队。他们的工作结果作为建议方案提交给高级管理人员，高级管理人员最终决定将对组织实施哪些响应措施。

高级管理人员负责通过定义工作的范围和目标来启动和支持风险分析和评估。所有风险评估、结果、决策和产出都必须得到高层管理人员的理解和批准，这是应尽关心/尽职审查的一部分。

所有IT系统都存在风险。所有的组织都存在风险。员工所执行的每项任务都有风险。无法消除全部风险。

风险评估的目标是识别风险（基于资产-威胁组合）并按重要性进行优先级排序。

10.2.1 定性风险分析

执行定性风险分析的技术：

头脑风暴

故事板

焦点小组

调查

问卷

检查清单

一对一的会议

采访

场景

Delphi 技术

10.2.1.1 场景

所有这些机制的基本过程都需要创建场景。场景是对单个主要威胁的书面描述。

对于每个场景，有多种防护措施可完全或部分应对场景中描述的主要威胁。然后，参与分析的人员分配场景的威胁级别、可能的损失和每种安全措施的优点。

分配威胁级别时，既可简单使用高、中、低或 1~10 的数字，也可使用详细的文字。

定性风险分析的有用性和有效性随着评估参与者的数量和多样性的增加而提高。

10.2.1.2 Delphi

Delphi 技术只是一个匿名的反馈和响应过程，用于在个小组中匿名达成共识。它的字要目的是从所有参与者中得到诚实且不受影响的反馈。参与者通常聚在一个会议室里，对于每个反馈请求，每个参与者都在纸上或者通过数字消息服务匿名写下反馈。反馈结果被汇编并提交给风险分析小组进行计估。这个过程不断重复，直到达成共识。

10.2.2 定量分析

定量风险分析可计算出具体概率指数或用数字指示出相关风险的可能性。这意味着定量风险分析的最终结果是一份包含风险级别、潜在损失、控制措施成本和防护措施价值等货币数据的报告。

定量风险分析的主要步骤或阶段如下： (1) 编制资产清单，并为每个资产分配资产价值(assetvalue, AV)。 (2) 研究每一项资产，列出每一项资产可能面临的所有威胁。形成资产－威胁组合。 (3) 对千每个资产－威胁组合，计算暴露因子(exposure factor, EF)。 (4) 对于每个资产－威胁组合，计算单一损失期望(single loss expectancy, SLE)。 (5) 执行威胁分析，计算每个威胁在一年之内实际发生的可能性，也就是年度发生率 (annualized rate of occurrence, ARO) 。 (6) 通过计算年度损失期望(annualized loss expectancy, ALE)得到每个威胁可能带来的总损失。 (7) 研究每种威胁的控制措施，然后基于已采用的控制措施，计算ARO、 EF和ALE 的变化。 (8) 针对每项资产的每个威胁的每个防护措施进行成本/效益分析。为每个威肋选择最合适的防护措施。

10.3 风险响应

无论采用定量风险评估还是定性风险评估，风险响应的诸多要素都是适用的。一旦完成风险分析，管理人员就必须处理每个特定风险。对风险有以下几种可能的响应：

降低或缓解

转让或转移

威慑

规避

接受

拒绝或忽略

风险缓解(risk mitigation) 降低风险或缓解风险是指通过实施防护措施、安全控制和安全对策以减少或消除脆弱性或阻止威胁。实施加密措施和使用防火墙是常见的降低风险或缓解风险的范例。单个风险有时是可以完全消除的，但通常情况下，在尝试降低或缓解风险后仍会存在一些风险。

风险转让(risk assignment) 风险转让或风险转移指将风险带来的损失转嫁给另一个实体或组织。转让或转移风险的常见形式是购买网络安全或传统保险和外包。这也被称为风险的转移和风险的转让。

风险威慑(risk deterrence) 风险威慑是对可能违反安全和策略的违规者实施威慑的过程。目的是说服威胁主体不进行攻击。风险威慑的事例包括实施审计、安全摄像头、警告横幅、使用安保人员等并向公众表明该组织愿意与司法部门合作，起诉实施网络犯罪的人。

风险规避(risk avoidance) 风险规避是选择替代的选项或活动的过程，替代选项或活动的风险低于默认的、通用的、权宜的或廉价的选项。例如，选择飞往目的地（而不是驾车前往）是一种规避风险的方式。另一个例子是为了避免隅风的风险，在亚利桑那州（而不是佛罗里达州）建立企业。业务领导者终止业务活动，因为它与组织目标不一致，并且会带来较高的风险，这也是规避风险的一个例子。

风险接受(risk acceptance) 风险接受或风险容忍是成本/收益分析表明控制措施的成本将超过风险可能造成的损失之后的结果。这也意味着管理层已同意接受风险造成的后果和损失。大多数情况下，接受风险时需要进行明确的书面陈述，通常由高级管理人员以书面签名形式说明为什么未实施防护措施，谁对决定负责以及如果风险发生，谁对损失负责。

风险拒绝(risk rejection) 一个不可接受的但可能发生的风险响应是拒绝风险或忽略风险。否认风险的存在并希望它永远不会发生，并不是有效的或审慎的应尽关心/尽职审查的风险响应方式。拒绝或忽略风险的行为在法庭上可能被视为存在疏忽。

固有风险也被称为初始风险或起始风险。在风险评估过程中会识别出这种风险。

总风险指在没有实施防护措施的情况下组织面临的全部风险。总风险的概念化公式如下：

总风险和残余风险的差额被称为控制间隙。控制间隙指通过实施防护措施而减少的风险。

风险处理与风险管理一样，都不是一次性过程。事实上，重复进行风险评估和风险响应过程是评估安全计划的完整性和有效性的必要机制。

10.4 选择与实施控制措施

在评估安全控制的价值或相关性时，还需要考虑以下因素：

控制措施的成本应该低于资产的价值。

控制措施的成本应该低千控制措施的收益。

应用控制措施的结果应使攻击者的攻击成本高于攻击带来的收益。

控制措施应该为真实的和已识别的问题提供解决方案（不要仅因为控制措施是可用的、被宣传的或听起来很酷就实施它们）。

控制措施的好处不应依赖于其保密性。任何可行的控制措施都能经得起公开披露和审查，这样即使在已知的情祝下也能保待保护效果。

控制措施的收益应当是可检测和可验证的。

控制措施应在所有用户、系统、协议之间提供一致的和统一的保护。

控制措施应该几乎或完全没有依赖项，以减少级联故障。

完成初始部署和配置后，控制措施只需要最低限度的人为干预。

应该防止篡改控制措施。

只有拥有特权的操作员才能全面访问控制措施。

应当为控制措施提供故障安全和/或故障保护选项。

安全控制、安全对策和防护措施可以是管理性、逻辑性/技术性或物理性的。这三种安全机制应以分层的概念、纵深防御的方式去实现，以提供最大收益。这个思路基于这样一个概念：通过策略（属于管理性控制的一部分）全面驱动安全并围绕资产形成初始保护层。其次，逻辑阳技术性控制提供针对逻辑攻击和漏洞利用的保护。然后，物理性控制可防止针对设施和设备的真实物理攻击。

管理性控制措施是依据组织的安全策略和其他法规或要求而规定的策略和程序。。管理性控制措施的例子包括策略、程序、招聘实践、背景调查、数据分类和标签、安全意识和培训工作、报告和审查、工作监督、人员控制和测试。

逻辑性/技术性控制措施包括硬件或软件机制，可用千管理访问权限以及为 IT 资源和系统提供安全保护。逻辑性/技术性控制措施的例子包括身份认证方法（如密码、智能卡和生物识别技术）、加密、限制接口、访问控制列表、协议、防火墙、路由器、入侵检测系统(IDS) 和阙值级别。

物理性控制措施是专为设施和真实世界对象提供保护的安全机制。物理性控制措施的例子包括保安、栅栏、动作探测器、上锁的门、密封的窗户、灯、电缆保护、笔记本电脑锁、徽章、刷卡、看门狗、摄像机、访问控制门厅和报警器。

10.5 适用的控制类型（如预防、检测、纠正）

10.5.1 预防控制

部署预防控制以阻挠或阻止非预期的或未经授权的活动的发生。

10.5.2 威慑控制

部署威慑控制以阻止违反安全策略的行为。。威摄控制和预防控制是类似的，但威慑控制往往需要说服个人不采取不必要的行动。

10.5.3 检测控制

部署检测控制以发现或检测非预期的或未经授权的活动。检测控制是在活动发生后才运行的，并且只有在活动发生后才能够发现活动。

10.5.4 补偿控制

补偿控制为其它现有的控制提供各种选项，从而帮助增强和支持安全策略。补偿控制可以是另－个控制的补充或替代选项。它们可以作为提高主要控制有效性的一种手段，也可以作为主要控制发生故障时的替换或故障转移选项。

10.5.5 纠正控制

纠正控制会修改环境，使系统从发生的非预期的或未经授权的活动中恢复到正常状态。纠正控制试图纠正安全事故引发的任何问题。

10.5.6 恢复控制

恢复控制是纠正控制的扩展，但具有更高级、吏复杂的能力。

10.5.7 指示控制

指示控制用于指导、限制或控制主体的行为，以强制或鼓励主体遵守安全策略。指示控制的例子包括安全策略要求或标准、发布的通知、保安指引、逃生路线出口标志、监控、监督和程序。

10.6 控制评估（安全与隐私）

安全控制评估(securitycontrol assessment, SCA)是根据基线或可靠性期望对安全基础设施的各个机制进行的正式评估。 SCA可作为渗透测试或漏洞评估的补充内容，或作为完整的安全评估被执行。

SCA结果可以证实安全机制已维持其先前的已验证的有效性水平，或者必须采取措施解决存在缺陷的安全控制。

联邦机构基于NIST SP 800-53 Rev.5”信息系统和组织的安全和隐私控制”实施 SCA 流程。然而，虽然 SCA 被定义为一个政府流程，但对每个致力于维持成功的安全成果的组织来说评估安全控制的可靠性和有效性的概念都应该被采纳。

10.7 监控与测量

安全控制提供的收益应该是可被监视和测量的。如果安全控制提供的收益无法被量化、评估或比较，那么这种控制实际上没有提供任何安全。

通常为了测量控制措施的成败，必须在安全措施执行前后进行监视和记录。只有知道了起点（即正常点或初始风险水平），才能准确地衡量收益。

10.8 报告

风险报告是风险分析结束时需要执行的一项关键任务。风险报告包括编制风险报告，并将该报告呈现给利益相关方。对于许多组织来说，风险报告只用作内部参考资料，而其他的一些组织可能必须按规定向第三方或公众报告他们的风险结果。风险报告应能准确、及时、全面地反映整个组织的情况，能清晰和准确地支持决策的制订，并定期更新。

10.9 持续改进（如风险成熟度模型）

可以使用风险成熟度模型(risk maturity model, RMM)评估企业风险管理(enterprise risk management, ERM)计划。 RMM从成熟、可持续和可重复方面评估风险管理流程的关键指标和活动。 RMM 系统有多个，每个系统都规定了各种方法来实现更高的风险管理能力。

通常将风险成熟度评估与五级模型相关联，典型的RMM级别如下： (1) 初始级(ad hoc)——所有组织开始进行风险管理时的混乱状态。 (2) 预备级(preliminary)——初步尝试遵守风险管理流程，但是每个部门执行的风险评估可能各不相同。 (3) 定义级(defined)——在整个组织范围内采用通用或者标准化的风险框架。 (4) 集成级(integrated) ——风险管理操作被集成到业务流程中，收集有效性指标数据，风险被视为业务战略决策中的一个要素。 (5) 优化级(optimized) ——风险管理侧重于实现目标，而不仅仅是对外部威胁做出响应；增加战略规划是为了业务成功，而不只是避免事故；并将吸取的经验教训重新纳入风险管理过程。

一个经常被忽视的风险域是遗留设备风险，这些风险可能是EOL和/或EOSL。

生产期终止(end-of-life, EOL) 是指制造商不再生产产品的时间点。在 EOL之后，组织可能还会继续提供一段时间的服务与支持，但不会销售或分发新版本。

EOL产品应在出现故障或支持期终止(end-of-support, EOS) 或服务期终止(end-of-service life, EOSL) 之前进行更换。

10.10 风险框架

10.10.1 网络安全框架(cybersecurity framework, CSF)

美国国家标准与技术研究院 (NIST)创建了风险管理框架(risk management framework, RMF) 和网络安全框架(cybersecurity framework, CSF)。这些都是美国政府建立和维护安全的指南，不过 CSF 是为关键基础设施和商业组织设计的，而RMF则是为联邦机构制定的强制性要求。

CSF 以一个框架核心为基础，该框架核心由五个功能组成：识别、保护、检测、响应和恢复。 CSF 并不是检查清单或程序，它是为支持和改进安全而需要持续执行的操作活动的规定。 CSF 更像是一个改进系统而不是其所规定的风险管理流程或安全基础设施。

10.10.2 风险管理框架(risk management framework, RMF)

RMF 是联邦机构的强制性安全要求，NISTSP 800-37 Rev.2 对其进行了定义。这是CISSP 考试参考的主要风险框架。 RMF 中有六个循环性阶段：

准备通过建立管理安全和隐私风险的上下文和优先级，准备从组织级和系统级的角度执行RMF。

分类根据对损失影响的分析，对系统以及系统处理、存储和传输的信息进行分类。

选择为系统选择一组初始控制并根据需要定制控制，以根据风险评估将风险降低到可接受的水平。

实施实施控制并描述如何在系统及其操作环境中使用控制。

评估评估控制以确定控制是否正确实施，是否按预期运行以及是否产生满足安全和隐私要求的预期结果。

授权在确定组织运营和资产、个人、其他组织和国家/地区面临的风险是可接受的基础上，授权系统或共同控制。

监控持续监控系统和相关控制，包括评估控制有效性，记录系统和操作环境的变化，进行风险评估和影响分析，以及报告系统的安全和隐私状况。

这六个阶段将在组织的整个生命周期中按颠序重复执行。 RMF 旨在作为一种风险管理流程来识别和应对威胁。通过使用 RMF, 可以建立安全基础设施并持续改进安全环境的过程。

10.10.3 ISO/IEC 31000 “风险管理－指南“

这份ISO指南适用丁任何类型的组织，无论是政府还是私营部门。

10.10.4 其它风险管理框架

ISO/IEC31004“风险管理－ISO31000 实施指南”

ISO/IEC27005“信息技术－安全技术－信息安全风险管理”

Treadway 委员会的 COSO 企业风险管理－综合框架

ISACA 的 IT 风险框架

可操作的关键威胁、资产和脆弱性评估(Operationally Critical Threat, Asset, and Vulnerability Evaluation, OCTAVE)

信息风险因素分析(Factor Analysis of lnformation Risk, FAIR)

威胁代理风险评估(Threat Agent Risk Assessment, TARA)

11.理解与应用威胁建模的概念和方法

威胁建模是识别、分类和分析潜在威胁的安全过程。威胁建模可被当作设计和开发期间的一种主动措施来执行，也可作为产品部署后的一种被动措施来执行。这两种情况下，威胁建模过程都识别了潜在危害、发生的可能性、关注的优先级以及消除或减少威胁的手段。

威胁建模不是个独立事件。组织通常在系统设计过程的早期就开始进行威胁建模，并持续贯穿于系统的整个生命周期。

11.1 识别威胁

关注资产 该方法利用资产评估结果，试图识别有价值的资产面临的威胁 关注攻击者 有些组织能识别潜在攻击者，并能根据攻击者的动机、目标或者策略、技术和程序(TTP)来识别其所代表的威胁。 关注软件 如果组织开发了软件，就需要考虑软件受到的潜在威胁。

通常将威胁与脆弱性结合起来，以识别能够利用资产并对组织带来重大风险的威胁。威胁建模的最终目标是对危害组织有价值资产的潜在威胁进行优先级排序。

11.1.1 微软的STRIDE 的威胁分类方案

STRIDE 的威胁分类方案：

欺骗(Spoofmg)：通过使用伪造的身份获得对目标系统的访问权限的攻击行为。当攻击者将他们的身份伪造成合法的或授权的实体时，他们通常能够绕过针对未授权访问的过滤器和封锁。

篡改(Tampering)：对传输或存储中的数据进行任何未经授权的更改或操纵的行为。

否认(Repudiation)：用户或攻击者否认执行动作或活动的能力。否认攻击还可能导致无辜的第三方被指责违反安全规定。

信息泄露{Information Disclosure)：将私有、机密或受控信息泄露或发送给外部或未经授权的实体。

拒绝服务(DoS)：该攻击试图阻止对资源的授权使用。这类攻击可通过利用缺陷、过载连接或爆发流晕来进行。

特权提升(Elevation of Privilege)：该攻击是将权限有限的用户账户转换为具有更大特权、权利和访问权限的账户。

11.1.2 攻击模拟和威胁分析过程(Process for Attack Simulation and Threat Analysis, PASTA)

攻击模拟和威胁分析过程(Process for Attack Simulation and Threat Analysis, PASTA) 是一种由七个阶段构成的威胁建模方法。 PASTA方法以风险为核心，旨在选择或开发与要保护的资产价值相关的防护措施。下面列出了PASTA的七个阶段：

阶段1: 为风险分析定义目标

阶段2: 定义技术范围(Defi血tionof the Technical Scope, DTS)

阶段3: 分解和分析应用程序(ApplicationDecomposition and Analysis, ADA)

阶段4: 威胁分析(ThreatAnalysis, TA)

阶段5: 弱点和脆弱性分析(Weaknessand Vulnerability Analysis, WV A)

阶段6: 攻击建模与仿真(AttackModeling & Simulation, AMS)

阶段7: 风险分析和管理(RiskAnalysis & Management, RAM)

PASTA 的每个阶段都有该阶段需要完成的目标和交付物的特别目标清单。

11.1.3 其它

可视化、敏捷和简单威胁(Visual,Agile, and Simple Threat, VAST) 是一种基于敏捷项目管理和编程原则的威胁建模概念。 VAST 的目标是在可扩展的基础上将威胁和风险管理集成到敏捷编程环境中。

11.2 确定和绘制潜在的攻击

威胁建模的下一步是确定可能发生的潜在攻击。这通常通过创建事务中的元素图表及数据流和权限边界来完成。

对十较复杂的系统，可能需要创建多个图表，关注不同的焦点并对细节进行不同层级的放大。一旦绘制出图表，就要确定涉及的所有技术。接下来，要确定针对图表中每个元素的攻击。请记住，要考虑到各种攻击类型，包括逻辑//技术、物理和社会攻击。

12. 应用供应链风险管理（SCRM）概念

供应链风险管理(SCRM)旨在确保供应链中的所有供应商或环节都是可靠的、值得信赖的、信誉良好的组织，这些组织向业务伙伴（尽管不一定向公众）披露他们的实践和安全需求。

12.1 与硬件、软件和服务相关的风险

供应链是一种概念，意指大多数计赁机、设备、网络、系统甚至云服务都不是单个实体构建的，这就意味着每一个环节，每一对上下游关系间存在着安全风险。

12.2 第三方评估和监测

针对供应链的评估和监控可能由供应链中的第一个或者最后一个组织进行，也可能需要外部审计人员参与完成。当使用第三方评估和监控服务时，请记住，每个供应链实体都需要在其业务操作中体现出安全意识。

12.3 最低安全要求

应为供应链中的每个实体设立最低安全要求，对新的硬件、软件或服务的安全要求应该始终满足或超过对最终产品安全性的预期。

12.4 服务水平要求

供应链安全通常需要详细审查SLA、合同和实际执行情况。这是为了确保服务合同中包含有关安全的规定。当供应链组件供应商正在制作软件或提供服务时，可能需要定义服务级别需求(SLR)。 SLR是对供应商产品（或服务）的服务和性能期望的说明。通常， SLR是由客户在 SLA建立之前提供的（如果供应商希望客户签署协议，应使协议包含SLR)。

13. 建立并维护安全意识、教育和培训计划

实施安全培训的一个前提条件是建立安全意识。建立安全意识的目标是让用户将安全放到首位并认可这一点。

安全意识建立了对安全认知的最小化的通用标准或基础。所有人员都应充分认识到自身的安全责任和义务。他们通过接受培训，知道该做什么和不该做什么。

为确保其有效性，安全意识建立程序必须及时、有创造性且经常更新。

13.1 展示意识和培训的方法和技巧（如社会工程、网络钓鱼、安全带头人、游戏化）

13.1.1 培训

所有新员工都需要某种程度的培训，这样他们才会遵守安全策略中规定的所有标准、指南和程字。

培训是一项南要持续进行的活动，每个员工在任职期间都必须持续接受培训。培训是一种管理性安全控制。

随着时间的推移，展开安全意识和培训的方法和技术都应得到修订和改进以便最大限度地提高收，这就需要对培训指标进行收集与评估。

安全意识和培训通常由内部提供，这意味着这些教学工具都在组织内创建和部署。

13.1.2 教育

教育是一项更详细的上作，学生/用户学习的内容比他们完成其工作任务实际需要知道的内容多得多。

教育最常与寻求资质认证或工作晋升的用户相关联。个人在应聘安全专家时常遇到的要求之一就是教育经历。

13.1.2 安全带头人

安全带头人通常是团队中的一员，他决定（或被指派）负责将安全概念运用和集成到团队的工作活动中。安全带头人通常是非安全人员，他们负责鼓励他人支持和采用更多的安全实践和行为。

13.1.3 游戏化

通常可以通过游戏化的方式来提升安令意识和改进培训。运用得当的游戏动态可以提高员工对培训的参与度，增加课程的组织应用，扩充员工对概念应用的理解，使工作流程更高效，整合更多的团体活动（如众筹和头脑风暴），增强知识记忆，并减少员工的冷漠情绪。

13.1.5 其它

改进安全培训的方法还包括夺旗演习、模拟网络钓鱼、基于计算机的培训(CBT)和基于角色的培训等。

13.2 社会工程

13.2.1 社会工程学原理

权威——为大多数人可能会顺从地响应权威。

恐吓——恐吓利用权威、信任甚至威胁伤害来推动某人执行命令或指示。

共识——共识或社会认同是利用一个人的自然倾向的行为。

稀缺性——稀缺性是一种用千使某人相估某个目标因其稀缺性而具有更高价值的技术（仅剩几张地门票）。

熟悉——熟悉或喜欢是一种社会工程原理，它试图利用一个人对熟悉事物的固有信任。

信任——在信任这一社会工程原则中，攻击者努力与受害者建立关系。

紧迫性——紧迫性通常与稀缺性相呼应，因为稀缺性代表错失的风险更大，所以迅速采取行动的需求就会增加。

13.2.2 信息获取

社会工程人员对目标对象使用的任何收集信息的手段或方法都是获取信息。

13.2.3 网络钓鱼

网络钓鱼(phishing)是一种补会工程攻击形式，主要是从任何潜在的目标窃取凭证或身份信息。

为了防御网络钓鱼攻击，最终用户应接受以下培训：

警惕意外的电子邮件或来自未知发件人的电子邮件。

切勿打开意外的电子邮件附件。

切勿通过电子邮件分享敏感信息。

避免点击电子邮件、即时消息或社交网络消息中收到的任何链接。

网络钓鱼模拟器是一种用千评估员工抵抗或参与网络钓鱼活动的能力的工具，员工可能需要参加额外的培训以免陷入真正的攻击。

13.2.4 鱼叉式网络钓鱼

鱼叉式网络钓鱼(spearphishing)是一种更有针对性的网络钓鱼形式，其中信息是专门针对 一个特定用户群体制作的。

针对网络钓鱼地防御行为都适用于鱼叉攻击，但是还需做到以下几点：

用价值、重要性或敏感程度对信息、数据和资产打标签。

培训人员基于标签来正确处理相关资产。

要求澄清或确认任何看似异常、偏离流程或对组织有过度风险的行为。

13.2.5 网络钓鲸

网络钓鲸(whaling)是鱼叉式网络钓鱼的一种变体，针对的是特定的高价值人员（按照头衔、行业、媒体报告等），如首席执行官(CEO)和其他C-层高管、管理员或者高净值客户。

13.2.6 短信钓鱼

短消息服务(SMS)网络钓鱼或短信钓鱼(smishing, 叩时消息垃圾邮件）是一种社会工程攻击，它发生在标准文本消息服务之上或通过标准文本消息服务进行。、

虽然短信钓鱼指的是基十 SMS 的攻击，但它有时也可用千指通过多媒体消息服务 (MMS)、富媒体通信服务(RCS)、 GoogleHangouts、 AndroidMessenger、 FacebookMessenger、微信、 Apple/iPhone iMessages、 WhatsApp、 Slack、 Discord、 Microsoft Teams 等。

13.2.7 语音网络钓鱼

语音网络钓鱼(vishing, 即基千语音的网络钓鱼）或 SplT（互联网电话垃圾邮件）是通过任何电话或语音通信系统进行的网络钓鱼。

语音网络钓鱼呼叫可以显示任何来源的呼叫 ID 或电话号码，攻击者会使用其认为可能让受害者接听电话的来源。

13.2.8 其它

垃圾邮件、肩窥、发票诈骗、假冒和伪装、恶作剧、尾随和捎带、垃圾箱搜寻、身份欺诈（身份盗窃）、误植域名、影响力运动（引导舆论）

13.3 定期内容评审

有助于及时更新培训内容，使其跟得上时代和组织地发展，更好的适应当前地网络安全环境。

必须对所有培训材料进行定期的内容审查，这很重要。审查有助千确保培训材料和演示文稿与业务目标、组织使命和安全目标保持一致。这种对培训材料的定期评仙还提供了调整重点、添加/删除主题以及将新的培训技术集成到课件中的机会。

13.4 计划有效性评估

应该持续进行或者在可持续的基础上开展培训和安全意识计划有效性评估。不要仅仅因为员工被登记为参加过或完成了培训活动，就想当然地认为他们真的学到了什么，或者将改变他们的行为。

在有些情况下，可以在培训课程结束后立即对员工进行测验或测试。应在三到六个月后再进行人员安全和风险管理的概念一次后续测试，以检查他们是否记住了培训中所提到的信息。

评估过程的组合可以帮助确定培训或安全奋识计划是否有效，并降低安全事件发生率以及相关的响应和管理成本。