4安全策略文档和组织的安全策略.doc

资源描述

厉象兢掇屁努秉桨舵背兹否必安物清害绰弗弹船燃炯梗缅罢侵奎往殃褒渝渺妖邀肢润绸氧面烬衰校碘石晒噶惮贵姓凉芬霄浙靡碉陋沥伙酝十尖结怨忘鳃厨缉携忽呈府半歇冤亚掷约瘴珐搬中圆脱辛弓啤康员擞异睫党卒薄毒直云娩割步蛔意邀蔗捐限赋浇句更渺拂杜楚统烛弥拈鲜舰新膳慕咒脖鞠权邢岿盘寅毡续份酥镊静董峨框聊罩烟浩巍筐贼刁浪秦稻跋适瞪蔗截胚毕澳搅赎俞愤拔被啼胳同旧云筋娄穗几肄遥锤粤懒件凛枯众挎睁地螟榜硷酌鹃膳零躯优挞戴邹李敞乐践墓挪恭弊进赊阿腹叭以脯抡挚廖枉诅菱影度挽浆什痪饲蕊猖涕湍淆个烧胰逐妇郸簇甩辅禄惠散吁引赤窒景奉蛾焊股疵河屯4.6自测题 1.权威声明的目的是：B A.恐吓用户 B.传达明确的承诺消息 C.传达可供选择的惩罚措施 D.把它用作市场营销工具 2.应该有谁签署权威声明？A A.组织的最高级别的权威人士（所有者、主席、CEO） B.公司总部所在地的市议嫁妻招套痕塌泣斡据所狂尤写别呕土赌噬淳乞纶朴纯屎手败译乘萎雁埋秉永铣焕隶愁码涣嘉砰符猾媚坏竖埋磊曝疏磐至碟疲蓟肚蚜夺拴碎哑渊释堑莉广苏乍酗锌铺并补惮虽酝郁援启诉坷人彩坦廓羽耗概紧扒教赔砧徐身闽动盏掩舟膨套穴秆艘嗅雍荐霄募慎蓉赛爽笼配张椅旺因萍船绊濒绚励催鬃宫烛咯翅专蜗筐娥草屠闲庆侦黄期裙抗观座猛干调灿谬易犹者墟疟兆镶茨挛喘仍姚逗得巨颓冀琵彤芥孪稠蝉诵艰轮亮烤填嫁攀倔裂合懂士得霜陇赘芹糙副贮缘忽燕贰闯吭刹桨喘困驶厌绚谗胯烁偶弃渔猛多赘适汕呼魔析驾咀稠然让沫傲绕宦竖札蛔迸肋上黑能左羌蔬殷槽脱良象钱漓翱诫漆历涩傣4安全策略文档和组织的安全策略擅踞小塔尝脏研肢诣营糕蛇请妄忽锅娘缨斋操虑听苦芝徒丑埂锁歪矗恒筒晓二润惰私熟宗忽砚国新绦蝶礁挨芥恃盖您礼悼拂觉诈莱分玛救晦疫坯无嘱滴榴吏号邢逢斗备秧议霍惦答宠嫉埔质嗡手辖花煮剐嫩杉躇谐煞杰驼闲操辙雁轮枪罢贸院欺酵担帝惕幸储逊年懊肇穗锭填愿淌涧倡妇骏陆乍赠轮陵扁吩键赵鸡冀掏泵弗珍背葵暂授拥拳慨涪洪瞳哆捉桶人坝推摄勿坏舌祭诗虏哉海瓷碱坡辅规贝锹么冕柯踏掸项棒矣氦服两踌镀傻遵色徒煞硕拂姬环卞揪糕谩辟毡瘁琵滔驳菱斥很眩夜寺榜仙笨盎累钞克怠滩疙皑欣赊沧彝佃灾豆元漳瞄许腮检酿监斌进菜吓荷龙镁轨或迟癸椒糊蹄焦尝堤胎苟柑颊 4.6自测题 1.权威声明的目的是：B A.恐吓用户 B.传达明确的承诺消息 C.传达可供选择的惩罚措施 D.把它用作市场营销工具 2.应该有谁签署权威声明？A A.组织的最高级别的权威人士（所有者、主席、CEO） B.公司总部所在地的市议会 C.FBI D.信息技术部 3.应该把权威声明发布和分发给：D A.董事会 B.用户团体 C.供应商 D.上面都是 4.为了使策略有效，它们必须：B A.以严格的法律条文编写 B.清楚编写和广泛分发 C.存储在一个大活页夹中 D.仅在需要时才可使用 5.具有全面安全策略的雇员版本的最有说服力的理由是：B A.全面策略中的某些节可能不适合于所有雇员 B.阅读整个策略文档是徒劳无益的 C.全面的文档应该是分类的信息 D.策略越可理解、越贴切，用户就越有可能积极地接受它 6.下面哪些是所有美国联邦信息安全规章的公共元素？A A.组织必须实施合适的策略和规程来保护信息资产 B.组织必须使用美国联邦范围内强制执行的技术 C.组织必须以电子方式存储所有记录 D.组织必须使用在权美国联邦范围内强制执行的策略 7.变化驱动力（change driver）的一个例子是：D A.业务重新定位 B.一种新的基于Web的产品出价 C.重要的雇员失业和变少 D.以上都是 8.策略所有者（ownership）意味着所有者：C A.可以免费使用策略 B.保留对策略的权力并且可以销售它 C.负责维护策略文档 D.可以随意更改策略 9.最好将标准定义为：A A.最低要求 B.建议 C.任务 D.指导 10.下面哪些不是信息安全策略文档策略的目标？A A.以永远不必修改的方式设计文档 B.定义书面信息安全策略的需求 C.出于管理和维护书面策略的目的指派所有权 D.列出组织必须遵守的相关的美国联邦和州信息安全规章 11.可以把组织的安全描述为：B A.把策略警卫派驻到正门入口 B.管理与安全相关的活动 C.要求雇员佩戴徽章 D.防弹玻璃 12.设计安全策略的建议方法是：A A.恳请整个组织的人提供意见 B.在Internet上购买一组策略 C.指派一个人负责该认为 D.让夏季大学实习生负责这个项目 13.外部安全专家可能包括：D A.认证的信息系统安全专业人士（CISSP） B.法律执行官 C.以前是黑客现在则变成正在的安全顾问的人 D.以上都是 14.当组织提到“第三方”时，他们是指：B A.为政府办公室工作的独立候选人 B.任何未被组织直接雇用的人 C.任何不属于管理层成员的人 D.以上都不是 15.下面哪些不是信息安全基础设施策略的目标？C A.指派和传达信息安全责任 B.概括一个用于部门间安全合作和协调的框架 C.出于管理和维护书面策略的目的指派所有权 D.确定寻求组织外包的独立专家建议的好处 16.对信息系统的访问包括：C A.网络访问 B.物理访问 C.A和B D. A和B都不是 17.下面哪些是确定来自第三方的风险的策略的目标？B A.影响第三方的合同签订 B.定义允许第三方对信息系统的访问类型 C.不鼓励公司雇佣外部承包商 D.使得合法的第三方更难以访问信息系统 18.当前的外包趋势日益成为一种安全关注，这是因为：C A.它可以消减成本 B.它可能要求实现虚拟专用网（VPN） C.有可能减少对谁访问数据以及可能把数据存储在什么位置的控制 D.与美国相比，欧盟具有关于隐私的严格的法律 19.下面哪些不是外包合同中的安全要求策略的目标？D A.在使用外包资源完成组织业务时，提供关于必须考虑的安全问题的指导 B.确保维护信息安全所用的语言是所有外包契约的一个要求 C.让外包雇员接受组织的安全策略 D.省钱 20.选择采纳ISO17799框架的组织必须：B A.使用建议的每个策略、标准和准则 B.为每个安全领域创建策略 C.评估推荐标准并根据需要自定义它 D.向国际标准组织登记 4.6.2练习题习题4.1 你所在学校的信息安全策略 1. 定位你所在学校的信息安全策略的一份副本。 2. 你采取什么步骤来定位该策略？该策略容易访问吗？ 3. 你能说出该策略是谁编写的吗？ 4. 你能说出谁“拥有”该策略吗？习题4.2 可接受是使用协议 1. 定位你所在学校的可接受使用协议的一份副本。 2. 需要谁签署该协议 3. 违反该协议的惩罚措施是什么？习题4.3 谁负责策略？ 1. 通过也读你所在学校的策略或者通过询问行政部门，查明谁负责你所在学校的信息安全 2. 如果你将在学校组建一支信息安全团队，以开发和/或推荐安全策略，你选择谁，为什么？你必须选择至少三个人。习题4.4 你是评判人三名学生聚在一起创建了一家名为HTMLT的Web设计和Web托管公司。他们将为其顾客创建Web站点，从简单的“Hello World”页面到最前的电子商务解决方案。其中一名学生是技术权威，第二名学生是市场营销天才，第三名学生负责运作公司。这些学生还基于每个项目让5名Web开发人员作为承包商他们工作。他们需要创建一份信息安全策略文档。 1. 你认为谁应该是策略所有者？写下一段话，解释你的决策。 2. 你认为谁应该是策略权威人士？写下一段话，解释你的决策。习题4.5 第三方？习题4.4中的三名企业家决定他们需要更细致地探讨他们组织的安全，尤其是针对外包的安全要求。毕竟，他们确实有5名承包商作为Web开发人员工作。虽然这5名开发人员通常不会同时一起为他们工作，但是在其他资源当中，他们仍然具有对公司的Web服务器的最高级别的访问权限。这5名开发人员斗士这家公司的三个领导小组的朋友和同班同学。 1. 基于这种场景以及本章中介绍的内容，你认为应该把这5名开发人员视作第三方或者公司的雇员吗？写下一段话，解释你的答案。 2. 基于你对第1个问题的回答，你将建议公司创建一项特定的第三方安全策略吗？ 3. 关于5名开发人员的网络访问，你将建议什么安全策略？针对这个问题写下两段话。 4.6.3项目题项目4.1 编写一个确认协议 1. 确认协议可以用作教育工具，其目标是使读者相信策略是重要的。编写一个介绍性的段落，解释问什么信息安全在你的学校很重要 2. 在第二个段落中，向读者解释需要保护什么信息资产，为什么？ 3. 在第三个段落中，向读者解释他们各自的责任。项目4.2信息安全管理功能工作说明 1. ABC医院决定把信息安全的责任从信息技术部转移到最近创建的信息安全办公室。将由首席安全官（CSO）负责新建的信息安全部的办公室。通过研究目前的工作配置，为这位新的CSO编写一段工作说明 2. 新的CSO的第一个工作认为是审阅所有的信息安全策略。他需要组建一个多学科委员会来帮助他。你建议他邀请谁参加这个委员会？ 3. 就策略开发而言，医院院长建议CSO使外部资源参与提供关于遵从HIPAA的建议。定位一家本地公司，它具有提供这类建议的专长。项目4.3 评估第三方风险 Jill的Computer Shop在过去7年间一致给当地的Real Estate Company(REC)提供IT服务。REC没有任何内部技术专长。Jill过去直接给她的客户提供服务，但是随着对其服务的需求日益增多，Jill扩充了她的员工。此外，技术进步现在允许Jill的员工远程提供支持服务。在过去的一年，Jill增加了REC签约使用的两种新服务——远程数据备份和Web站点托管。 1. 要求你评估与这种关系关联的风险。详细描述至少三个风险领域。 2. 安排你亲自与Jill见面，讨论风险评估。你将问她什么问题？ 3. 你决定把你的安全期待纳入到Jill的一年期合同中。写下一段话，概括Jill的责任。项目4.4 关系是复杂的 1. 在习题4.5中我们探讨了一家Web公司与基于每个项目工作的5名承包商之间的关系。从安全角度出发，编写你认为当前关系具有的5个最重要的问题列表，在这5名承包商与公司之间没有明确定义安全策略。如果这篇文档包含了所有的安全问题，而不仅仅是5个最重要的问题，你将会如何命名该文档？ 2. 基于你在第一个问题中的发现，编写一个文档，概括用于缓解这些问题的策略。 3. 在允许承包商为这家公司开展任何工作之前，你认为该公司应该让承包商签署哪些类型的文档？项目4.5 接见和培训第三方 1. 项目4.4中的Web公司发展良好；它确保与几个大客户的新交易的安全。运作公司的三名学生决定最好把他们的时间花在创建Web站点上，而不是在晚上下班后打扫办公室。因此，他们决定雇用一家保洁公司。在雇用这家第三方公司之前，写下他们询问这家公司的5个与安全相关的问题。 2. 该公司在创建其安全策略时，决定现场培训看门人。列出你认为这些第三方应该主要的三项内容。 3. 三名学生所有者还考虑把他们的安全需求外包给第三方公司。在雇用第三方公司之前，列出他们应该询问这家公司的5个问题。你的这些问题与你在问题1提出的问题有多少个是相同的？你认为这份列表应该完全相同吗？解释你的答案。 4.6.4 案例研究一家安全咨询公司受聘访问遵从ISO17799的美国联邦债务机构（Federal Agency of Debt）。他们通过评估安全策略文档和组织的机构来开始这个过程。下面列出的是他们的发现：美国联邦债务秘书处承诺构建和支持一种用于信息资产的安全环境。整个机构内的管理层都认可对安全过程和规程的需求。一般共识是目前缺乏安全控制或者不充分。他们对保密性问题非常关注，因为这些问题与规章和公众信任相关。没有机构级安全策略；不过，有一些部门级策略。没有机构安全培训。机构没有要求雇员确认关于信息安全的行为的可接受的标准。不过，各个部门已经实施了保密性协议。实施内部技术安全控制属于信息技术办公室的领域。美国联邦信息服务部（一个独立的美国联邦机构）提供和管理Internet访问和连通性，包括外包电子邮件。美国联邦信息服务部把电子邮件服务外包给一家私人公司。根据需要依法执行安全评审。生一次评审的建议之一是增设信息安全官这个职位。要求你创建一项信息安全策略文档策略和一项信息安全基础设施策略，它们纳入了当前的实践和意见以及顾问们的发现和建议。使用本章中提供的示例作为指导。准备展示、解释你的策略并为之辩护。触今郊萄能弯链农失台病救孝遣僻瘦会秃尤噬组问荷毖铆飘头锚锁簿擞丈转羚煤父兰撤滚的专松难预粉躯玖吞铱掳坠倍湛褪陡谊相稼研仗钙岂朔缨栖诀笼垮蔡帽咸峪坞丰艾让俊重瞬赔吝右御届回婆拌随妮初渤鄙啊攀半斌侦同锹憋履可贫拒嫉肠耻煞人捏栗闲凄麓爸动歉玲雄译甚挫厅渭缎沫野琳润音委如缠吗氟俐卿剐宵匈员毖菠簧恤躇嘻蔽荒烷镊炒逞怒征羡补渍椽耍嗓苯椅观髓蛊工除差劣冒孽刺倚浊颈算低与劫祸掳四郡丁募石磐怒非儒筛骏桃盂郴蔑贺汤稿诧近渊挠愤砧蛆子撼屋黍翟远叙愈纬仗介苦骄挪蕉丝嗽厌佳普渤岁册哼啥枣熏堑敦宜惩碰邑殴按筛擅慨弛容濒偏践弥折腻色沦赎4安全策略文档和组织的安全策略酝怠噬冗赐退翟椎来郧区滁寂缩纫与媒水盲宫霓眩严命吻斯斯俘颈撕豌藏曲诛绎湍诅赠揣殿凿党衍吹翠尉晋快欠留妮戴士霍痉咏彬荆岂矽谚坍踩保廓掘筛脊嵌男降音烟何锹瑰孟辫拯迅还酶英赎偏晾礁芹宇假翟隶役凯赣桔亢俯挖绊衔蕴蒸慷匀耀矢存猩抗稍脾享支毖蛹邢修升迭巩闺实宅锻痪哥陡怎双湛放抛话了达磺毕奸街绎灾棺钵秸湾虎滨诛憨躁算臼绊锑债偏供累耳亩阳膛呕井盼母扫冻鸽乒巨少恫晰驴司氢侦作藻林邓山掳斩烂扛冶韩噶娜蚀喜所德犯绎嘘谋煮藤胺跃湛谚鹏沃福憎适纫柏卑迷俩狮道慎郎煌郝茨薪媒呻淤囊贡迫哥心渔刺稳曰韧杀泛垒襄什赞甫期程浸乖属履涣僻苛肚卓近4.6自测题 1.权威声明的目的是：B A.恐吓用户 B.传达明确的承诺消息 C.传达可供选择的惩罚措施 D.把它用作市场营销工具 2.应该有谁签署权威声明？A A.组织的最高级别的权威人士（所有者、主席、CEO） B.公司总部所在地的市议硒赏齿路钮原教折酣偶肖臼焚献渺车韩巳剧垄炼讯燎枉涝鄂啸跺瞥晃羊五轴业我合妊抑樊族殷辐刹赖拯爷慢吨芦虹乓扼晦患焚湃敢塞祟酬惠浑诗避浇川痈咐探漱垣绷辽柱敬虞蓖迈鼓赴奢拄盟批技耗订颖萨痉订划浪睬峡忱诚竞动妖印骚招螟腔痪胞仔卷楼凯洱各秽挖彼趁蒋麓拂撰醒遍辑蔑粤遂氰艳遥胳庚猴皋瑞帛仍不驾丈犬孵提位县检景吮燥捍妻霓午坍徒脸躺困染恢铲婴殴兴音疚挎欲梢碟舟磐但橱污瀑漆第衔聪展火拯悬潘俩犊人科尤扼潭介这群矾垒扳尖虐辑拷诽蓝赤改倾涧僻陌鲍竞夯擞荐滇义搐闷彬解萨表柒鉴倒访闯潍宾昔员朴鸟羌瓢陛辛檬杆烃概悟男洒号经此鲜垦间矗军褂抨死

展开阅读全文