로그인
로그인

마인드 맵 갤러리 CISSP 연구 노트-2(인사 안전 및 위험 관리의 개념)

CISSP 연구 노트-2(인사 안전 및 위험 관리의 개념)

CISSP 2장 '인사안전 및 위험관리'에 관련된 핵심 지식 포인트와 테스트 포인트를 상세하게 기록하고 있으며, 몇 가지 복습 문제를 가지고 있다.

2024-01-23 15:59:36에 편집됨

슈퍼직장인

최근 작업 더 많은 작업 보기>>

(III) 저산소 유도 인자 프롤릴 하이드 록 실라 제 억제제
이것은 (III) 저산소증-유도 인자 프롤릴 하이드 록 실라 제 억제제에 대한 마인드 맵이며, 주요 함량은 다음을 포함한다 : 저산소증-유도 인자 프롤릴 하이드 록 실라 제 억제제 (HIF-PHI)는 신장 빈혈의 치료를위한 새로운 소형 분자 경구 약물이다. 1. HIF-PHI 복용량 선택 및 조정. Rosalasstat의 초기 용량, 2. HIF-PHI 사용 중 모니터링, 3. 부작용 및 예방 조치.
Kuka 산업용 로봇의 개발 및 Kuka 산업 로봇의 모션 제어 명령
이것은 Kuka Industrial Robots의 개발 및 Kuka Industrial Robot의 모션 제어 지침에 대한 마인드 맵입니다. 주요 내용에는 쿠카 산업 로봇의 역사, 쿠카 산업 로봇의 특성, 쿠카 산업 로봇의 응용 분야, 2. 포장 프로세스에서 쿠카 로봇은 빠르고 일관된 포장 작업을 달성하고 포장 효율성을 높이며 인건비를 줄입니다. 2. 인건비 감소 : 자동화는 운영자에 대한 의존성을 줄입니다. 3. 조립 품질 향상 : 정확한 제어는 인간 오류를 줄입니다.
1.1 컴퓨터 네트워크 요약
408 컴퓨터 네트워크가 너무 어렵습니까? 두려워하지 마세요! 나는 피를 구토하고 지식 맥락을 명확히하는 데 도움이되는 매우 실용적인 마인드 맵을 분류했습니다. 컨텐츠는 매우 완전합니다. 네트워크 아키텍처에서 응용 프로그램 계층, TCP/IP 프로토콜, 서브넷 디비전 및 기타 핵심 포인트에 이르기까지 원칙을 철저히 이해하는 데 도움이 될 수 있습니다. 📈 명확한 논리 : Mindmas 보물, 당신은 드문 기회가 있습니다. 서둘러! 이 마인드 맵을 사용하여 408 컴퓨터 네트워크의 학습 경로에서 바람과 파도를 타고 성공적으로 해변을 얻으십시오! 도움이 필요한 친구들과 공유해야합니다!

CISSP 연구 노트-2(인사 안전 및 위험 관리의 개념)

슈퍼직장인

최근 작업 더 많은 작업 보기>>

추천 사항
개요

화학 산과 염기 학습
- 7
슈퍼직장인
OSG9 2장 직원 안전 및 위험 관리 개념
- 5
슈퍼직장인
검사 뇌과학
- 6
슈퍼직장인
PMP 프로젝트 관리(3장, 프로젝트 범위 관리) 마인드맵
- 8
슈퍼직장인
PMP 프로젝트 관리(2장, 프로젝트 통합관리) 마인드맵
- 6
슈퍼직장인
기업금융 CFA
- 13
슈퍼직장인
CISSP 연구 노트 - 영역 5(ID 액세스 관리)
- 11
슈퍼직장인
CISSP 연구 노트 - 영역 3(보안 아키텍처 및 엔지니어링)
- 20
슈퍼직장인
CISSP 연구 노트-20(소프트웨어 개발 보안)
- 19
슈퍼직장인
CISSP 연구 노트-16(보안 운영 관리)
- 24
슈퍼직장인

CISSP 연구 노트-2(인사 안전 및 위험 관리의 개념)

1- 지식 포인트 요약

인사 보안 정책 및 절차

가장 취약한 요소는 적절한 교육을 통해 중요한 보안 자산이자 보안 노력의 귀중한 파트너가 될 수 있습니다.

직무 설명 및 책임

직무 설명에서는 안전 문제를 고려해야 합니다.

직원에게 할당해야 하는 역할을 정의하고, 역할은 권한 및 업무와 일치합니다.

책임 목록은 액세스 권한, 사용 권한 및 권한을 할당하는 방법입니다.

모집이 아닌 전체 수명주기

후보자 심사 및 모집

온보딩: 고용 계약 및 전략

최소 권한 및 접근 권한의 원칙

NDA 기밀 유지 계약

직원의 직무 변경, 새로운 자산 액세스, 추가 NDA 서명

직원 감독

업무 및 권한이 표류하고, 권한이 너무 많으면 조직의 위험이 증가합니다.

강제 휴가

다른 직원은 자신의 계정을 사용하여 업무를 수행하고, 남용, 사기 또는 과실을 감지하고, 업무 및 권한을 확인합니다.

직무 분리, 직무 순환, 교차 교육, 강제 휴가를 통해 위험 공모를 줄일 수 있습니다.

UBA: 사용자 행동 분석 UEBA: 사용자 및 엔터티 행동 분석 직원 안전 정책, 절차, 교육 및 관련 안전 감독 프로그램을 개선할 수 있습니다.

분리, 이전 및 종료 프로세스

직원이 다른 부서, 시설 또는 물리적 위치로 이동할 때도 오프보딩 절차를 사용할 수 있습니다.

인사 이동은 해고/재고용으로 간주될 수 있습니다.

사용할 프로그램을 결정하는 요소는 다음과 같습니다.

동일한 사용자 계정을 유지할지 여부

권한을 조정할지 여부

새로운 직무는 이전 직위와 유사합니까?

기록이 깨끗한 새 계정이 필요합니까?

새로운 직위에는 감사가 필요합니까?

공급업체, 컨설턴트, 계약업체 계약 및 통제

서비스 수준 계약(SLA)을 사용하는 것은 서비스 수준이 제공되는지 확인하는 방법입니다.

SLA와 공급업체, 컨설턴트 및 계약업체 통제는 서신 완화 및 위험 회피에 중요한 부분입니다.

아웃소싱은 위험을 이전하거나 할당하는 대응입니다.

VMS 공급업체 관리 시스템 기능:

편리한 주문

주문분배

교육 주문

통합 결제

규정 준수 정책 요구 사항

규정 준수의 이점

고품질

일관성

능률

비용 절감

규정 위반으로 인한 피해

이익

시장 점유율

승인

평판

규정 준수 집행은 정책, 교육, 모범 사례, 규정을 준수하지 않은 경우 제재 또는 결과를 부과하는 것을 의미합니다.

준법 집행 임원

CISO 또는 CEO

직원 관리자 및 감독자

감사자 및 제3자 규제 기관

개인 정보 보호 정책 요구 사항

개인 정보 보호 정의

개인 식별 정보인 PII(개인 식별 정보)에 대한 무단 액세스로부터 사전에 보호합니다.

개인 정보 또는 기밀 정보에 대한 무단 접근 방지

동의나 인지 없이 관찰, 모니터링, 검사되는 것을 방지하기 위해

IT 부문은 개인 정보 보호를 다룹니다.

위험 관리 개념 이해 및 적용

개요

1차 리스크 관리 결과는 보안 전략 수립의 기초가 됩니다.

후속 위험 관리 이벤트는 조직의 보안 인프라를 개선하고 유지하는 데 사용됩니다.

위험 관리 구성 요소:

위험성 평가(분석)

발생 가능성 평가

실제 출시 이후 발생한 손실

다양한 위험 통제 조치의 비용 평가

위 세 가지 항목의 결과에 따라 위험 우선순위가 결정됩니다.

위험 대응

비용/이익 분석 사용

위험 제어, 보호 장치 및 보안 제어 평가

선택한 해당 조치를 IT 인프라에 배포하고 보안 정책 문서에 설명합니다.

위험 인식

위험 용어 및 개념

자산 가치 평가

위협과 취약점 식별

위험성 평가/분석

정량분석

수학적 계산을 기반으로 실제 금전적 가치를 사용하여 자산 손실을 계산합니다.

정성적 분석

의견, 감정, 직관, 선호도, 생각 및 직감적 반응을 고려하여 주관적이고 무형적인 용어로 자산 손실을 나타냅니다.

정성적 위험 분석 기술

장면

델파이 기술

익명 피드백 및 응답 프로세스, 아이디어 출처에 따른 차별 없음

정량적 위험 분석

단계

노출 계수 EF

잠재적 손실이라고도 하며, 백분율로 표시, 내부 데이터 사용, 통계 분석 수행, 대중과의 상담, 위험 원장/등록 가입, 자문가와의 작업, 위험 관리 소프트웨어 사용

단일 손실 기대 SLE

SLE = 자산 가치(AV) * 노출 계수(EF)

연간 발생률 ARO

연간 예상 손실 ALE

ALE=첫 번째 손실 예상(SLE)*연간 발생률(ARO)=AV*EF*ARO

위험 대응

위험 완화(감소)

취약성을 줄이거나 제거하거나 위협을 방지하기 위한 보호 장치, 보안 제어 및 보안 대책을 구현합니다.

위험 이전

사이버 보안, 보험, 아웃소싱 구매

위험 억제

감사, 보안 카메라, 경고 배너 구현, 보안 인력 활용

위험 회피

대안 선택

위험 수용

손실을 받아들이다

위험 거부

위험 거부 또는 무시

총 위험 = 위협 * 취약성 * 자산 가치 총 위험 - 통제 격차 = 잔여 위험

리스크 관리는 일회성 이벤트가 아닙니다.

보안 통제의 비용과 이점

회사에 대한 보호 조치의 가치 = 보호 조치가 실행되기 전의 ALE - 보호 조치가 실행된 후의 ALE - 보호 조치의 연간 비용 ACS

ALE1-ALE2-ACS

최고의 보안 조치, 가장 비용 효율적인 방법

보안대책 선택 및 구현

분류

관리적 통제

포함 사항: 정책, 절차, 채용 관행, 배경 조사, 데이터 분류 및 라벨링, 보안 인식 및 교육, 보고 및 검토, 작업 감독, 인사 통제 및 테스트

논리적/기술적 통제

포함 사항: 인증, 암호화, 제한된 인터페이스, 액세스 제어 목록, 프로토콜, 방화벽, 라우터, 침입 탐지 시스템 및 임계값 수준

물리적 통제 조치

하위 주제

적용 가능한 제어 유형

예방적 통제

IPS

억제 통제

정책, 보안 인식 교육, 자물쇠, 울타리, 보안 표지판, 경비원, 출입 통제 로비 및 보안 카메라

감지 제어

IDS

보상 통제

교정 제어

복원 제어

명령어 제어

보안 통제 평가

기준선이나 안정성 기대치를 기준으로 보안 인프라의 개별 메커니즘을 평가합니다.

침투 테스트 또는 취약성 평가에 대한 보충 자료로 사용할 수 있습니다.

완전한 보안 평가로도 이용 가능

모니터링 및 측정

위험 보고 및 문서화

위험등록 내용

식별된 위험

이러한 위험의 심각도를 평가하고 우선순위를 지정합니다.

위험을 줄이거나 제거하기 위한 대응책 개발

위험 완화 진행 상황 추적

계속 개선하다

RMM(위험 성숙도 모델) 평가 기업 위험 관리 ERM 프로그램

RMM 레벨

초기 레벨

준비 수준

정의 수준

공통 또는 표준화된 위험 프레임워크

통합 수준

위험 관리 운영은 비즈니스 프로세스에 통합됩니다.

최적화 수준

목표

유산 위험

단종

EOSL

위험 프레임워크

RMF 위험 관리 프레임워크

연방 기관에 대한 필수 표준

RMF에는 6개의 순환 단계가 있습니다.

보안 및 개인 정보 보호 위험 관리를 위한 상황과 우선 순위를 설정하여 조직 및 시스템 수준의 관점에서 준비합니다. RMF 실행

분류 손실의 영향에 대한 분석을 기반으로 시스템과 시스템에서 처리, 저장 및 전송하는 정보를 분류합니다.

선택 시스템에 대한 초기 테더링 세트를 선택하고 위험 평가에 따라 허용 가능한 물 건조 수준으로 위험을 줄이기 위해 필요에 따라 제어를 조정합니다.

구현 제어를 구현하고 시스템 및 운영 환경 내에서 사용되는 방법을 설명합니다.

평가 컨트롤을 평가하여 컨트롤이 올바르게 구현되었는지, 예상대로 작동하는지, 보안 및 개인 정보 보호 요구 사항을 충족하는 예상 결과를 생성하는지 확인합니다.

승인 조직의 운영 및 자산, 개인, 기타 조직 및 국가에 대한 위험이 허용된다는 결정을 기반으로 시스템 또는 공통 제어를 승인합니다.

모니터링에는 제어 효율성 평가, 시스템 및 운영 환경에 대한 변경 기록, 위험 평가 및 영향 분석 수행, 시스템의 보안 및 개인 정보 보호 상태에 대한 보고가 포함됩니다.

CSF 사이버보안 프레임워크

인프라 및 상업 조직을 위해 설계됨

사회 공학

사회 공학 공격을 방어하는 가장 효과적인 방법

사용자 교육

인식 훈련

원칙

권한

위협

의견 일치

부족

친숙한

신뢰하다

긴급

정보 얻기

전치사

피싱

스피어 피싱

피싱고래

SMS 피싱

보이스피싱

스팸

어깨 엿보기

송장 사기

장난

위조 및 변장

뒤따라가기와 피기백하기

쓰레기 검색

신원 사기

잘못 인쇄된 도메인 이름

운동에 영향을 미치다

하이브리드 전쟁

소셜 미디어

보안 인식, 교육 및 훈련 프로그램 수립 및 유지

안전의식

안전교육을 위한 전제조건

훈련

기르다

개선하다

목표의 초점을 때로는 개인으로, 때로는 고객으로, 때로는 조직으로 변경

주제의 순서와 초점을 바꿔보세요. 한 번은 사회공학, 다음은 장비 보안, 다음은 다른 것입니다.

다양한 프리젠테이션 방법

역할극을 통해 참가자들이 공격자와 방어자를 연기하게 하여 다양한 사람들이 공격과 방어에 대처하기 위한 아이디어를 제공할 수 있도록 합니다.

안전리더 육성 및 격려

게임화는 교육을 강화하고 향상시킵니다.

격려와 처벌

직원 교육 참여 확대

이해도를 높이다

기타 개선 사항: 깃발 캡처 연습, 모의 피싱, 컴퓨터 기반 교육(CBT) 및 역할 기반 교육

효율성 평가

새로운 방법과 기술을 채택하십시오.

정기적인

2회 시험 요점

1. 사람이 안전의 중요한 요소임을 이해합니다.

2. 직무기술서의 중요성을 이해한다

3. 신규 직원 채용이 안전에 미치는 영향을 이해합니다.

4. 온보딩 및 오프보딩 이해

5. 최소 권한의 원칙 이해

6. 비공개 계약(NDA)의 필요성을 이해합니다.

7. 직원 감독 이해

8. 강제휴직의 필요성을 이해한다

9. UBA와 UEBA 이해

10. 인사 이동 이해

11. 적절한 종료 전략을 설명하십시오.

12. 공급업체, 컨설턴트 및 계약업체 통제를 이해합니다.

13. 정책 준수 이해

14. 개인 정보 보호가 IT 보안 환경에 어떻게 적용되는지 이해

15. 전반적인 리스크 관리를 정의하는 능력

16. 위험 분석 및 관련 요소 이해

17. 위협을 평가하는 방법을 알아라

18. 정성적 위험 분석 이해

19.델파이 기술 이해

20. 정량적 위험 분석 이해

21. Jess 노출계수(EF) 개념

22. 단일 손실 기대(SLE)의 의미 및 계산 방법을 이해합니다.

23. 연간 발생률(ARO) 이해

24. 연간 손실 기대치(ALE)의 의미와 계산을 이해합니다.

25. 보호 조치 평가 공식을 이해합니다.

26. 위험 처리 방법 이해

27. 총 위험, 참여 위험 및 통제 격차를 설명하십시오.

28. 컨트롤 유형 이해

29. 컨트롤 유형 이해

30. 보안 통제 평가(SCA) 이해

31. 안전보건 및 측정의 이해

32. 위험 보고 이해하기

33. 지속적인 개선의 필요성을 이해합니다.

34. 위험 성숙도 모델 이해

35. 레거시 위험 보안 위험 이해

36. 위험 프레임워크를 이해하세요

37. 사회공학을 이해하라

38. 보안 인식 훈련, 훈련 및 교육을 구현하는 방법을 이해합니다.

39. 안전 리더를 알아보세요

40. 게임화를 이해하라

41. 정기적인 콘텐츠 검토 및 효율성 평가의 필요성을 이해합니다.

중요한 연습

1. 자산 - 비즈니스 프로세스나 작업에 사용되는 모든 것 위협 - 조직이나 특정 자산에 부정적인 영향이나 의도하지 않은 결과를 초래할 수 있는 잠재적인 사건 취약성 - 자산의 약점, 보호 조치의 약점 또는 부재 노출됨 - 위협으로 인해 자산 손실에 취약하며, 취약성이 악용될 가능성이 있습니다. 위험 - 위협이 취약성을 악용하여 자산에 손상을 입힐 가능성 또는 확률과 발생할 수 있는 손상의 심각도

2. 보안 회의는 자산 가치 정의, 위협 목록 개발, 위반으로 인해 발생할 수 있는 구체적인 피해 수준 예측, 위협이 연간 회사를 혼란에 빠뜨릴 수 있는 횟수 결정에 중점을 둡니다. 이것은 무엇입니까? 정성적 위험 평가 B 델파이 기술 C 위험 회피 D 정량적 위험 평가

정답 : D

3. 다음 중 유효한 위험 정의는 무엇입니까? A 확률, 우도 또는 확률에 대한 평가 B 취약성을 제거하거나 하나 이상의 특정 위협으로부터 보호하는 모든 것 C 위험 = 위협 * 취약성 D 노출된 각 인스턴스 E 관련 위협이 존재하는 경우 취약점의 존재

정답 : ACD

4. 회사는 공용 웹서버에 새로운 웹 애플리케이션을 설치합니다. 해커들은 새로운 코드를 악용하여 시스템에 호스팅된 데이터 파일에 대한 액세스 권한을 얻었습니다. 설명하다: 내재된 위험 B 위험 매트릭스 C 정성적 평가 D 잔여 위험

정답: A 리스크 관리 작업을 수행하기 전에 존재하는 리스크

5. 조직은 SLA 및 BPA(비즈니스 파트너 계약)에 서명하기 전에 충족해야 하는 여러 조직 보안 요구 사항을 정의한 새로운 비즈니스 파트너를 찾고 있습니다. 하나는 조직이 위험 성숙도 모델의 구현 수준을 입증하도록 요구합니다. 특히, 공통적이거나 표준화된 위험 프레임워크를 채택해야 합니다. 이 레벨은 다음에 속합니다: 준비 수준 B 통합 레벨 C 정의 수준 D 최적화 수준

정답: C 초기 레벨 - 카오스 준비단계 - 초기 시도, 학과마다 다를 수 있음 정의 수준 - 공통, 표준 위험 프레임워크 통합 수준 - 위험 관리 작업은 비즈니스 프로세스에 통합되며 위험은 전략적 비즈니스 결정의 요소로 간주됩니다. 최적화 수준 - 위험 관리는 단순히 위협에 대응하는 것이 아닌, 사고를 피하는 것이 아닌 비즈니스 성공을 위해 목표 달성에 중점을 두고, 경험을 통해 학습하고 이를 위험 관리 프로세스에 통합할 수 있습니다.

6. RMF(위험 관리 프레임워크)는 정보 보안 분류, 통제 선택, 구현 및 평가, 시스템 및 일반 통제 승인, 일련의 7단계를 포함하여 보안 및 개인정보 위험 관리에 대한 사양을 제공합니다. RMF의 어느 단계에서 조직의 운영과 자산, 개인 및 해당 영역에 대한 위험을 기반으로 시스템 또는 일반 통제가 합리적인지 여부를 결정하는 데 중점을 두나요? 가.분류 나. 승인 다.평가 D.모니터링

정답: B RME 단계(0)는 조직의 운영 및 자산, 개인, 기타 조직 및 국가에 대한 위험이 허용 가능(또는 합리적)하다는 결정을 기반으로 시스템 또는 공통 통제에 대한 승인입니다. RMF의 단계는 (1) 준비, (2) 분류, (3) 선택, (4) 실행, (5) 평가, (6) 투자, (7) 모니터링으로 구성됩니다. (A)는 RMF 단계(2)로, 손실의 영향 분석을 바탕으로 시스템과 시스템에서 처리, 저장, 전송되는 정보를 분류하는 것을 의미합니다. (C)는 RMF 단계(5)로, 컨트롤이 올바르게 구현되었는지, 예상대로 작동하는지, 보안 및 개인 정보 보호 요구 사항을 충족하는 예상 결과를 생성하는지 확인하기 위해 컨트롤을 평가합니다. ①D)는 RMF 단계(⑦)로서 제어 효과 평가, 시스템 및 운영 환경의 변경 기록, 위험 평가 및 영향 분석 수행, 보안 및 개인 정보 보호 상태 보고 등 시스템 및 관련 제어를 지속적으로 모니터링합니다. 체계.

7. 다음 중 사회 공학 공격으로 분류할 수 있는 옵션은 무엇입니까? (모든 행을 함께 선택합니다.) A 사용자는 자신의 워크스테이션에 로그인하고 계단통에 있는 자동판매기에서 탄산음료를 구입합니다. 해당 사용자가 워크스테이션에서 자리를 비운 동안 다른 사람이 책상에 앉아 로컬 폴더의 모든 파일을 네트워크 공유에 복사합니다. B 위험한 새로운 질병이 인터넷에 퍼지고 있다는 경고 이메일을 받았습니다. 이 메시지는 하드 드라이브에서 특정 파일을 찾아서 삭제하라고 조언합니다. 이는 바이러스가 있음을 의미하기 때문입니다. 웹사이트 C는 제품 및 서비스에 대한 무료 임시 액세스를 제공한다고 주장하지만 액세스 소프트웨어를 다운로드하기 전에 웹 브라우저 및/또는 방화벽의 구성을 변경해야 합니다. 비서 D는 나중에 CEO를 만나야 할 고객이라고 주장하는 발신자로부터 전화를 받았습니다. 발신자는 대표이사에게 전화를 걸기 위해 대표이사 개인 휴대전화번호를 묻는다.

정답:BCD 옵션 A에 설명된 활동은 피해자의 이탈 기회를 이용하는 것일 뿐이며 피해자와의 상호작용이 없기 때문에 사회공학적 공격이 아닙니다. 옵션 B(장난), C(피싱, 장난, 워터링 홀 공격) 및 D(보이스 피싱)에 설명된 활동은 모두 사회 공학 공격의 일부입니다.

8. 일반적으로 __은 보안 개념을 팀에 적용하고 통합하는 책임을 결정(또는 할당)하는 팀 구성원입니다. 업무 활동 중. __보안 담당자가 아닌 직원은 다른 사람들이 더 많은 보안 관행을 지원하고 채택하도록 영감을 주는 임무를 맡는 경우가 많습니다. 행동의 책임. 가.정보보호 최고책임자 나. 안전리더 C. 안전 자동차 미터 D. 관리인

정답: B 정답은 안전리더 입니다. 안전 리더는 일반적으로 팀의 작업 활동에 안전 개념을 적용하고 통합하기로 결정하거나 권장하는 팀의 구성원입니다. 다른 옵션은 올바르지 않습니다. CISO 또는 최고 보안 책임자는 보안 로그를 관리하고 위반 징후에 대한 감사 추적을 검토합니다. 소유자가 지정한 분포에 따라 적절한 보안을 제공하는 IT 컨테이너입니다.