Security+ 認證/目標/安全程式管理和監督

來自華夏公益教科書，開放書籍，開放世界

< Security+ 認證 | 目標

此頁面可能需要審查其質量。

5.1 總結有效安全治理的要素。

[編輯 | 編輯原始碼]

指南
策略
- 可接受使用策略 (AUP)
- 資訊安全策略
- 業務連續性
- 災難恢復
- 事件響應
- 軟體開發生命週期 (SDLC)
- 變更管理
標準
- 密碼
- 訪問控制
- 物理安全
- 加密
程式
- 變更管理
- 入職/離職
- 劇本

外部因素
- 監管
- 法律
- 行業
- 地方/區域
- 國家
- 全球
監控和修訂
治理結構型別
- 董事會
- 委員會
- 政府機構
- 集中式/分散式
系統和資料的角色和責任
- 所有者
- 控制者
- 處理器
- 保管人/管理人

5.2 解釋風險管理過程的要素。

[編輯 | 編輯原始碼]

風險識別
風險評估
- 臨時性
- 定期
- 一次性
- 持續
風險分析
- 定性
- 定量
- 單次損失預期 (SLE)
- 年損失預期 (ALE)
- 年發生率 (ARO)
- 機率
- 可能性
- 暴露因子
- 影響
風險登記冊
- 關鍵風險指標
- 風險負責人
- 風險閾值

風險容忍度
風險偏好
- 擴張型
- 保守型
- 中立型
風險管理策略
- 轉移
- 接受
  - 豁免
  - 例外
- 避免
- 緩解
風險報告
業務影響分析
- 恢復時間目標 (RTO)
- 恢復點目標 (RPO)
- 平均修復時間 (MTTR)
- 平均故障間隔時間 (MTBF)

5.3 解釋與第三方風險評估和管理相關的流程。

[編輯 | 編輯原始碼]

供應商評估
- 滲透測試
- 審計權條款
- 內部審計的證據
- 獨立評估
- 供應鏈分析
供應商選擇
- 盡職調查
- 利益衝突

協議型別
- 服務級別協議 (SLA)
- 備忘錄 (MOA)
- 諒解備忘錄 (MOU)
- 主服務協議 (MSA)
- 工單 (WO)/工作說明書 (SOW)
- 保密協議 (NDA)
- 商業夥伴協議 (BPA)
供應商監控
問卷
參與規則

5.4 總結有效安全合規性的要素。

[編輯 | 編輯原始碼]

合規報告
- 內部
- 外部
不合規的後果
- 罰款
- 制裁
- 聲譽受損
- 許可證丟失
- 合同影響
合規監控
- 盡職調查/盡職盡責
- 證明和確認
- 內部和外部
- 自動化

隱私
- 法律影響
  - 地方/區域
  - 國家
  - 全球
- 資料主體
- 控制者與處理器
- 所有權
- 資料清單和保留
- 被遺忘權

5.5 解釋審計和評估的型別和目的。

[編輯 | 編輯原始碼]

證明
內部
- 合規性
- 審計委員會
- 自我評估
外部
- 監管
- 考試
- 評估
- 獨立第三方審計

滲透測試
- 物理
- 攻擊性
- 防禦性
- 整合
- 已知環境
- 部分已知環境
- 未知環境
- 偵察
  - 被動
  - 主動

5.6 給定場景，實施安全意識實踐。

[編輯 | 編輯原始碼]

網路釣魚
- 活動
- 識別網路釣魚企圖
- 響應報告的可疑訊息
異常行為識別
- 有風險的
- 意外的
- 無意的

使用者指南和培訓
- 策略/手冊
- 態勢感知
- 內部威脅
- 密碼管理
- 可移動介質和電纜
- 社會工程學
- 運營安全
- 混合/遠端工作環境
報告和監控
- 初始
- 定期
開發
執行

取自 "https://wikibook.tw/wiki/Security%2B_Certification/Objectives/Security_Program_Management_and_Oversight"

書：Security+ 認證

華夏公益教科書