Security+ 认证/目标/安全程序管理和监督

来自维基教科书，开放书籍，开放世界

< Security+ 认证 | 目标

此页面可能需要审查其质量。

5.1 总结有效安全治理的要素。

[编辑 | 编辑源代码]

指南
策略
- 可接受使用策略 (AUP)
- 信息安全策略
- 业务连续性
- 灾难恢复
- 事件响应
- 软件开发生命周期 (SDLC)
- 变更管理
标准
- 密码
- 访问控制
- 物理安全
- 加密
程序
- 变更管理
- 入职/离职
- 剧本

外部因素
- 监管
- 法律
- 行业
- 地方/区域
- 国家
- 全球
监控和修订
治理结构类型
- 董事会
- 委员会
- 政府机构
- 集中式/分散式
系统和数据的角色和责任
- 所有者
- 控制者
- 处理器
- 保管人/管理人

5.2 解释风险管理过程的要素。

[编辑 | 编辑源代码]

风险识别
风险评估
- 临时性
- 定期
- 一次性
- 持续
风险分析
- 定性
- 定量
- 单次损失预期 (SLE)
- 年损失预期 (ALE)
- 年发生率 (ARO)
- 概率
- 可能性
- 暴露因子
- 影响
风险登记册
- 关键风险指标
- 风险负责人
- 风险阈值

风险容忍度
风险偏好
- 扩张型
- 保守型
- 中立型
风险管理策略
- 转移
- 接受
  - 豁免
  - 例外
- 避免
- 缓解
风险报告
业务影响分析
- 恢复时间目标 (RTO)
- 恢复点目标 (RPO)
- 平均修复时间 (MTTR)
- 平均故障间隔时间 (MTBF)

5.3 解释与第三方风险评估和管理相关的流程。

[编辑 | 编辑源代码]

供应商评估
- 渗透测试
- 审计权条款
- 内部审计的证据
- 独立评估
- 供应链分析
供应商选择
- 尽职调查
- 利益冲突

协议类型
- 服务级别协议 (SLA)
- 备忘录 (MOA)
- 谅解备忘录 (MOU)
- 主服务协议 (MSA)
- 工单 (WO)/工作说明书 (SOW)
- 保密协议 (NDA)
- 商业伙伴协议 (BPA)
供应商监控
问卷
参与规则

5.4 总结有效安全合规性的要素。

[编辑 | 编辑源代码]

合规报告
- 内部
- 外部
不合规的后果
- 罚款
- 制裁
- 声誉受损
- 许可证丢失
- 合同影响
合规监控
- 尽职调查/尽职尽责
- 证明和确认
- 内部和外部
- 自动化

隐私
- 法律影响
  - 地方/区域
  - 国家
  - 全球
- 数据主体
- 控制者与处理器
- 所有权
- 数据清单和保留
- 被遗忘权

5.5 解释审计和评估的类型和目的。

[编辑 | 编辑源代码]

证明
内部
- 合规性
- 审计委员会
- 自我评估
外部
- 监管
- 考试
- 评估
- 独立第三方审计

渗透测试
- 物理
- 攻击性
- 防御性
- 集成
- 已知环境
- 部分已知环境
- 未知环境
- 侦察
  - 被动
  - 主动

5.6 给定场景，实施安全意识实践。

[编辑 | 编辑源代码]

网络钓鱼
- 活动
- 识别网络钓鱼企图
- 响应报告的可疑消息
异常行为识别
- 有风险的
- 意外的
- 无意的

用户指南和培训
- 策略/手册
- 态势感知
- 内部威胁
- 密码管理
- 可移动介质和电缆
- 社会工程学
- 运营安全
- 混合/远程工作环境
报告和监控
- 初始
- 定期
开发
执行

取自 "https://wikibooks.cn/wiki/Security%2B_Certification/Objectives/Security_Program_Management_and_Oversight"

书：Security+ 认证

华夏公益教科书