D1-03 6–10 分钟 重要程度:高
安全治理与管理责任
CISSP 把安全视为业务问题。高级管理层承担最终责任,安全专业人员设计和实施控制,但不能替业务承担最终责任。
一、必须记住
- 安全治理要让安全目标与业务目标一致。
- 高级管理层最终负责安全和风险接受。
- 安全专业人员负责建议、设计和实施安全解决方案。
- 治理与管理不同:治理定方向和责任,管理执行和运营。
二、核心概念
自上而下方法
上层管理定义策略,中层管理把策略落到标准、基线、指南和程序,操作层实现配置,最终用户遵守策略。
角色责任
高级管理者承担最终责任;安全专业人员提供专业建议并实施控制;数据所有者决定分类和保护要求;数据托管员执行保护和维护。
业务优先
安全管理是业务运行问题,不只是 IT 问题。最好的安全决策必须支持组织使命、风险偏好和合规要求。
三、CISSP 判断规则
- 题目问最终责任,优先选 Senior management。
- 题目问数据分类和授权,优先选 Data owner。
- 题目问实施和维护控制,优先选 Data custodian / Security professional。
- 题目问风险接受,通常需要业务或高级管理层批准。
四、常见陷阱
- 安全管理员不是最终风险负责人。
- 责任可以委派,最终可问责性通常不能完全转移。
- 技术上能做,不代表治理上应该立即做。
五、英文关键字
Governance (治理) 定义:让安全目标与业务目标一致。 Senior management (高级管理层) 定义:承担最终责任。 Business owner (业务所有者) 定义:负责业务风险和业务决策。 Data owner (数据所有者) 定义:负责数据分类、授权和保护要求。 Data custodian (数据托管员) 定义:负责执行和维护控制、备份、保护 CIA。 Accountability (可问责性) 定义:能把行为追溯到唯一主体。
考试判断:共享账号会破坏可问责性。 Top-down approach (自上而下方法) 定义:高层定策略,中层落标准,操作层执行。
考试判断:共享账号会破坏可问责性。 Top-down approach (自上而下方法) 定义:高层定策略,中层落标准,操作层执行。
小测验
1. 谁对组织的信息安全承担最终责任?
高级管理层承担最终责任。安全人员可执行和建议,但最终责任在管理层。
2. 谁通常负责决定数据分类和保护要求?
Data owner 决定数据分类、授权和保护要求;custodian 负责实施控制。
3. 安全管理计划最应与什么保持一致?
CISSP 视角下,安全必须支持业务战略、目标、使命和风险管理。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成