D1-03 6–10 分钟 重要程度:高

安全治理与管理责任

CISSP 把安全视为业务问题。高级管理层承担最终责任,安全专业人员设计和实施控制,但不能替业务承担最终责任。

一、必须记住

  • 安全治理要让安全目标与业务目标一致。
  • 高级管理层最终负责安全和风险接受。
  • 安全专业人员负责建议、设计和实施安全解决方案。
  • 治理与管理不同:治理定方向和责任,管理执行和运营。

二、核心概念

自上而下方法

上层管理定义策略,中层管理把策略落到标准、基线、指南和程序,操作层实现配置,最终用户遵守策略。

角色责任

高级管理者承担最终责任;安全专业人员提供专业建议并实施控制;数据所有者决定分类和保护要求;数据托管员执行保护和维护。

业务优先

安全管理是业务运行问题,不只是 IT 问题。最好的安全决策必须支持组织使命、风险偏好和合规要求。

三、CISSP 判断规则

  • 题目问最终责任,优先选 Senior management。
  • 题目问数据分类和授权,优先选 Data owner。
  • 题目问实施和维护控制,优先选 Data custodian / Security professional。
  • 题目问风险接受,通常需要业务或高级管理层批准。

四、常见陷阱

  • 安全管理员不是最终风险负责人。
  • 责任可以委派,最终可问责性通常不能完全转移。
  • 技术上能做,不代表治理上应该立即做。

五、英文关键字

Governance (治理) Senior management (高级管理层) Business owner (业务所有者) Data owner (数据所有者) Data custodian (数据托管员) Accountability (可问责性) Top-down approach (自上而下方法)

小测验

1. 谁对组织的信息安全承担最终责任?

高级管理层承担最终责任。安全人员可执行和建议,但最终责任在管理层。

2. 谁通常负责决定数据分类和保护要求?

Data owner 决定数据分类、授权和保护要求;custodian 负责实施控制。

3. 安全管理计划最应与什么保持一致?

CISSP 视角下,安全必须支持业务战略、目标、使命和风险管理。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成