人员安全和风险管理的概念

0x01 人员安全策略和程序

1.岗位描述与职责

招聘新员工的流程是？

• 创建岗位描述 or 职位描述
• 设置工作级别
• 筛选应聘者
• 招聘
• 培训

岗位职责清单主要内容是什么？

主要的内容是访问权限、许可和特权的分配提供指导。实际上就是根据当前的岗位分配对应的安全的权限，从而进行限制对应岗位权限的访问。

2.候选人筛选以及招聘

招聘考察的内容有？

• 人员筛选
• 背调
• 推荐调查
• 学历验证
• 安全调查
• 能力证明
• 资质

其实这个内容和安全的知识体系只能说是一个补充的内容，不用详细的进行学习，知道即可。

3.合规

什么是合规？

合规是符合或遵守规则、策略、法规、标准或要求的行为。

4.隐私

隐私是什么？

• 防止未经授权的可识别信息，个人身份信息
• 访问未授权的个人或机密的信息
• 防止在未经同意或不知情的情况下被观察，监视或检查。

0x02 风险管理

什么是风险管理

风险管理是一个详细的过程，包括识别可能造成资产损坏或泄露的原因，根据资产价值和控制措施的成本评估这些因素，并且实施具有成本效应的解决方案来减轻风险。

风险管理的目标是什么

将风险降低置可接受的水平。

风险管理是由什么要素组成的？

• 风险评估
• 风险响应

什么是风险评估？

检查环境中的风险，评估每个威胁事件发生的可能性和实际发生后造成的损失。

什么是风险响应？

使用成本效益去评估风险措施，保护措施和安全控制。实际上就是对风险的后续解决方案。

什么是暴露？

因威胁而容易遭受资产损失，存在可以或将要被利用脆弱性的可能性。

什么是风险

风险=威胁脆弱性
风险= 损害的可能性损害的严重程度

单一损失期望 SLE的计算公式

SLE=资产价值(AV)*暴露因子(EF)

年度损失期望 ALE计算公式

ALE=SLE*年度发生率(ARO)

风险评估/分析主要是谁的职责

• 高管的职责

风险处理&风险响应的方法有

• 风险缓解
• 风险转移
• 风险威慑
• 风险规避
• 风险接受
• 风险拒绝

总风险的计算公式

总风险=威胁脆弱性资产价值

残余风险计算公式

残余风险=总风险-控制间隙

安全控制类型有哪些

这里的安全控制实际上就是如何面对可能遇到的安全问题的答案。

• 预防控制
• 威慑控制
• 检测控制
• 补偿控制（备用手段）
• 恢复控制
• 指示控制

安全控制评估全拼

Security control assessment ACA

风险框架

什么是CSF

美国的网络安全框架，为关键基础设施和商业组织设计的。

CSF 的五个功能分别是

• 识别
• 保护
• 检测
• 响应
• 恢复

RMF是什么

RMF是联邦结构强制的安全要求

RMF的六个循环阶段是

• 准备
• 分类
• 选择
• 实施
• 评估
• 监控

补充知识

CISSP

CISSP (Certified Information Systems Security Professional)是由国际信息系统安全认证联盟（(ISC)²）所颁发的全球最具权威性的信息安全认证资格。CISSP认证旨在验证一名安全专业人士的技能、知识和经验，使其能够有效地设计、实施和管理安全策略和程序。

CISSP认证要求候选人通过一个八个知识领域组成的考试。这些知识领域分别是安全与风险管理、资产安全、安全工程、通信和网络安全、身份和访问管理、安全评估和测试、安全操作和软件开发安全。考试涵盖了安全管理的各个方面，包括安全策略、风险管理、网络安全、密码学、生物识别、法律和道德等。

获得CISSP认证可以帮助专业人士在安全领域中取得更高的职业地位和经济回报。持有CISSP认证的专业人士通常被认为是安全领域的专家，并且有能力保护组织的信息资产和系统免受各种威胁。

作为一项全球认可的安全认证，CISSP不仅得到了全球信息安全专业人士的广泛认可，也受到了企业和政府机构的青睐。无论是从事信息安全工作的专业人士，还是希望进入信息安全领域的初学者，CISSP认证都是一个有价值的资格认证。

RMF 介绍

RMF是Risk Management Framework（风险管理框架）的简称。它是一种用于管理和评估信息系统安全风险的方法论。RMF旨在帮助组织识别、评估和处理与信息系统相关的风险，并制定相应的风险管理策略和控制措施。

RMF的基本原则是将风险管理过程集成到信息系统的整个生命周期中，以确保系统的安全性和连续性。其核心流程包括：

1. 分类和授权：将信息系统按照其重要性和敏感性进行分类，并确定适当的安全授权级别。
2. 安全控制选择：根据系统的分类和授权级别，选择适当的安全控制措施来减轻风险。
3. 实施安全控制：根据选定的安全控制措施，对信息系统进行实施和配置。
4. 评估和验证：对信息系统的安全性进行定期评估和验证，以确保已部署的安全控制措施的有效性。
5. 监视和持续改进：对信息系统的安全性进行监视和持续改进，以应对新的安全威胁和漏洞。

RMF是美国国家标准和技术研究院（NIST）提出的一种风险管理方法，广泛应用于美国联邦政府机构和其他组织中。其目标是确保信息系统的安全性和可靠性，以保护组织的机密性、完整性和可用性。