域1：安全与风险管理 第2章-人员安全与风险管理

        第二章的内容确实较为丰富，需要细心且耐心地逐步消化和理解。不妨放慢阅读速度，对每个要点都进行深入思考，确保自己真正掌握了其核心意义。这样，虽然可能花费更多时间，但能够更扎实地掌握第二章的知识，为后续的学习打下坚实的基础。

---

第2章、人员安全与风险管理

1、人员是安全的关键元素。

在所有安全解决方案中，人员经常被视为最脆弱的元素。 无论部署了什么物理或逻辑控制措施，人总是可以找到方法来规避、绕过控制措施，或使控制措施失效。不过，当人员受到适当的培训，并被激励去保护自己和组织的安全时，他们也可以成为关键的安全资产

2、岗位描述的重要性。

如果没有岗位描述，就不能对应该招聘哪类人员达成共识。因此，制订岗位描述是定义与人员相关的安全需求并招聘新员工的第一步。

3、 雇用新员工对安全的影响。

为实施恰当的安全计划，必须为岗位描述、岗位分类、 工作任务、岗位职责、防范串通、候选人筛选、背景调查、安全调查、雇佣协议和保密协议等设立标准。确保新员工了解所需的安全标准，从而保护组织的资产。

4、 入职和离职。

入职是将新员工添加到组织的流程，包括组织特性的社会化和引导。 离职是在员工离开组织后，将其身份从 IAM 系统中删除的流程。

5、 最小特权原则。

最小特权原则指出用户应获得完成其工作任务或工作职责所需的最小访问权限。

6、保密协议(NDA) 的必要性。

NDA 用于保护组织内的机密信息，使其不被前雇员披露。当人员签署 NDA 时，他们同意不向组织外部的任何人披露任何被定义为机密的信息。

7、 员工监督。

在员工的整个雇佣过程中，管理人员应定期审查或审核每位员工的岗位描述、工作任务、特权和职责。

8、强制休假的必要性。

为了审计和核实员工的工作任务和特权，可执行一到两周的强制休假。该方法能够轻易发现特权滥用、欺诈或疏忽。

9、 UBA和UEBA。

用户行为分析(UBA)和用户与实体行为分析(UEBA)是为特定目标或意图，对用户、主体、访客、客户等行为进行分析的概念。

10、 人员调动。

人员调动可能被视为开除／重新雇用，而不是人员移动。这取决于组织的政策及其认为能最好地管理这一变化的方式。决定使用哪个程序的因素包括：是否保留相同的用户账户，是否调整他们的许可，他们的新工作职责是否与以前的职位相似，以及是否需要一个新的“历史清白的”账户以供新工作职位的审计。

11、 恰当的解雇策略。

解雇策略规定解雇员上的程序，应该包括有现场证人、禁用员工的网络访问权限和执行离职面谈等内容。解雇策略还应包括护送被解雇员工离开公司， 并要求其归还安全令牌、徽章和公司财产。

12、供应商、顾问和承包商的控制。

供应商、顾问和承包商的控制用千确定组织主要的外部实体、人员或组织的绩效水平、期望、补偿金额和影响。通常，这些控制条款在 SLA 档或策略中规定。

13、 策略合规。

合规是符合或遵守规则、策略、法规、标准或要求的行为。对安全治理来说，合规是一项重要内容。在个人层面，合规与员工个人是否遵守公司策略并按照规定的程序执行工作任务有关。

14、隐私如何融入 IT 安全领域。

了解隐私的多重含义／足义、为什么必须保护隐私以及 与隐私相关的问题（尤其是在工作环境中）

15、 定义整体的风险管理。

风险管理过程包括识别可能造成数据损坏或泄漏的因素，根据数据价值和控制措施的成本评估这些因素，并实施具有成本效益的解决方案来减轻或者降低风险。通过执行风险管理，为全面降低风险奠定基础。

16、风险分析和相关要素。

风险分析是向高层管理人员提供详细信息以决定哪些风险应该缓解、哪些风险应该转移、哪些风险应该接受的过程。要全面评估风险并采取适当的预防措施，必须分析以下内容：资产、资产估值、威肋、脆弱性、暴露、风险、已实现风险、防护措施、控制措施、攻击和破坏

17、 如何评估威胁。

威胁有许多来源，包括 IT 、人类和自然。应该以团队形式评估威胁，以提供最广泛的视角。通过从各个角度全面评估风险，可降低系统的脆弱性。

18、定性风险分析。

定性风险分析更多的是基于场景，而不是基于计算。这种方式不用具体的货币价值表示可能的损失，而是对威胁进行分级，以评估其风险、成本和影响。这种分析方式可帮助那些负责制订适当的风险管理策略的人员。

19、 Delphi 技术。

Delphi 技术是一个简单的匿名反馈和响应过程，用于达成共识。这样的共识让各责任方有机会正确评估风险并实施解决方案。

20、定量风险分析。

定量风险分析聚焦于货币价值和百分比。完全靠定量分析是不可能的，因为风险的某些方面是无形的。定量风险分析包括资产估值和威胁识别，然后确定威胁的潜在发生频率和造成的损害，生成具有防护措施的成本／效益分析的风险响应任务。

21、暴露因子（SLE）概念。

暴露因子是定量风险分析的一个要素，表示如果已发生的风险对某个特定资产造成了破坏，组织将因此遭受的损失百分比。通过计算风险暴露因子，可实施良好的风险管理策略

22、单一损失期望(SLE) 的含义和计算方式。

SLE 是定量风险分析的一个要素，代表已发生的单个风险给特定资产带来的损失。

计算公式为：SLE＝资产价值(AV) ＊暴露因子(EF)

23、年度发生率(ARO)

ARO 是定量风险分析的一个要素，代表特定威胁或风险在一年内发生（或成为现实）的预期频率。进一步了解 ARO, 你将能计算风险并采取适当的预防措施。

24、 年度损失期望(ALE) 的含义和计算方式。

ALE 是定量风险分析的一个要素，指的是特定资产面临的所有可发生的特定威胁在年度内可能造成的损失成本。

计算公式为： ALE= 单损失期望(SLE) ＊年度发生率(ARO ）

25、评估防护措施的公式。

除了确定防护措施的年度成本外，还需要为资产计算防护措施实施后的 ALE 。

可使用这个计算公式：防护措施对公司的价值＝防护措施实施前的 ALE-防护措施实施后的 ALE－防护措施的年度成本，或＝（ALEI-ALE2)-ACS

26、 处理风险的方法。

• 风险降低（即风险缓解）就是防护措施和控制措施的实施。
• 风险转让或风险转移是指将风险造成的损失成本轧嫁给另一个实体或组织；购买保险是风险转移的 一种形式。
• 风险威慑是指对可能违反安全和策略的违规者实施威慑的过程。
• 风险规避是选择替代的选项或活动的过程，替代选项或活动的风险低于默认的、通用的、权宜的或廉价的选项。
• 风险接受意味着管理层已经对可能的防护措施进行了成本／效益分析，并且确定防护措施的成本远大于风险可能造成的损失成本。这也意味着管理层同意接受风险发生后的结果和损失

27、 总风险、残余风险和控制间隙。

总风险是指如果不实施防护措施，组织将面临的全部风险。可用这个公式计算总风险：威胁＊脆弱性＊资产价值＝总风险。残余风险是管理层选择接受而不去减轻的风险。总风险和残余风险之间的差额是控制间隙，即通过实施防护措施而减少的风险。残余风险的计算公式为：总风险－控制间隙＝残余风险。

28、 控制类型。

术语“安全控制”指执行各种控制任务，例如确保只有授权用户可以登录，以及防止未授权用户访问资源。控制类型包括预防、检测、纠正、威慑、恢复、指示和补偿。控制也可根据其实施方式分为管理性、逻辑性／技术性或物理性控制。

29、 安全控制评估(SCA)

SCA 是根据基线或可靠性期望对安全基础设施的各个机制进行的正式评估。

30、安全监控和测量。

安全控制提供的收益应该是可被监控和测量的。如果安全控制提供的收益无法被量化、评估或比较，那么这种控制实际上没有提供任何安全。

31、 风险报告。

风险报告涉及风险报告的编制，以及将该报告呈现给利益相关方的过程。 风险报告应能准确、及时、全面地反映整个组织的情况，能清晰和准确地支持决策的制订，并定期更新

32、 持续改进的必要性。

安全在不断变化。因此，随着时间的推移，任何已实施的安全解决方案都需要进行更新。如果已使用的控制措施不能持续改进，则应该将其替换成可扩展的改进控制措施

33、 风险成熟度模型。

风险成熟度模型(RMM)从成熟、可持续和可重复方面评估风险管理流程的关键指标和活动。 RMM 分为初始级、预备级、定义级、集成级和优化级。

34、遗留系统安全风险。

遗留系统通常是一种威胁，因为它们可能无法从供应商处获得安全更新。生产期终止(EOL)是指制造商不再生产产品的时间点。服务期终止(EOSL) 或支持期终止(EOS)是指不能再从供应商处接收更新和支持。

35、风险框架。

风险框架是关于如何评估、解决和监控风险的指南或方法。 CISSP 考试参考的风险框架主要是 NIST SP 800-37 Rev.2 中定义的风险管理框架(RMF)。 其他风险管理框架还包括： ISO/IEC 31000 ISO/IEC 31004 COSO IT 风险框架、 OCTAVE FAIR TARA

36、 社会工程。

社会工程是一种利用人类天性和人类行为的攻击形式。常在社会工程中使用的原理有权威、恐吓、共识、稀缺性、熟悉、信任和紧迫生。此类攻击可通过使用借口和／或前置词来获取信息或访问权限。籵会工程攻击包括网络钓鱼、鱼叉式网络钓佑、商业电子邮件泄露(BEC) 、网络钓鲸、短信钓鱼、语音网络钓鱼、垃圾邮件、肩窥、发票诈骗、恶 作剧、假冒、伪装、尾随、捎带、垃圾箱搜寻、身份欺诈、误植域名和影响力运动。

37、如何实施安全意识培养、培训和教育。

在接受实际的蛁训前，用户必须建立每个员工都需要具备的安全意识。一旦树立广安全意识，就可以开始培训或教导员工执行他们的工 作任务并遵守安全策略。所有新员工都需要一定程度的培训，这样，他们才会遵守安全策略 中规定的所有标准、指南和程序。教育是一项更详细的工作，学生／用户学习的内容比他们完 成工作任务实际需要知道的多得多。教育通常与寻求资质认证或工作晋升的用户相关联。

38、 安全带头人。

安全带头人通常是团队中的 员，他决定（或被指派）负责将安全概念运用和集成到团队的工作活动中。安全带头人通常是非安全人员，他们负责鼓励他人支持和采用更多的安全实践和行为

39、游戏化。

游戏化是指将游戏的常见元素融入其他活动，例如安全合规和行为改变，从而鼓励合规性和参与度

40、 定期进行内容审查和有效性评估的必要性。

必须定期对所有培训材料进行内容审查。审查有助于确保培训材料和演示文稿与业务目标、组织使命和安全目标保持一致。应该使用—些验证手段来判定培训是有效益的还是在浪费时间和资源。