• 安全性的目标是提供机密性、完整性、可用性、真实性和不可否认性。
• 机密性意味着防止未经授权的实体(无论是人员还是流程)访问信息资产。
• 完整性意味着资产没有未经授权的更改。
• 可用性保护可确保授权人员可靠并及时访问数据和资源。
• 真实性保护确保我们可以相信某些东西来自其声称的来源。
• 不可否认性与真实性密切相关,意味着某人不能否认自己是特定行为的来源。
• 漏洞是系统中允许威胁源危害其安全性的弱点。
• 威胁是与利用漏洞相关的任何潜在危险。
• 威胁源(或威胁代理或威胁参与者)是可以利用漏洞的任何实体。
• 风险是指威胁源利用漏洞的可能性以及相应的业务影响。
• 采取控制或对策来减轻(减少)潜在风险。
• 安全治理是一个提供监督、问责制和合规性的框架。
• 信息安全管理系统 (ISMS) 是组织实施的策略、过程、基线和标准的集合,以确保其安全工作与业务需求保持一致、简化且有效,并且不会缺少任何安全控制。
• 企业安全体系结构实施信息安全策略,由解决方案、流程和程序层以及它们在战略、战术和运营上在整个企业中的链接方式组成。• 企业安全架构应与战略一致性、业务支持、流程增强和安全有效性相关联。
• 安全治理是一个框架,它支持由高级管理层设定和表达的组织的安全目标,在组织的不同级别进行沟通,并始终如一地应用和评估。
• 高级管理层始终对组织承担最终责任。
• 安全策略是管理层的声明,规定了安全性在组织中扮演的角色。
• 标准是描述特定要求的文档,这些要求本质上是强制性的,并支持组织的安全策略。
• 基线是最低安全级别。
• 准则是提供建议和灵活性的建议和一般方法。
• 程序是为实现某个目标而应执行的详细分步任务。
• 工作轮换和强制休假是有助于检测欺诈行为的管理安全控制措施。
• 职责分离确保没有一个人可以完全控制关键活动或任务。
• 知识分离和双重控制是职责分离的两种变体。
• 社会工程是一种攻击,旨在操纵一个人向未经授权的个人提供敏感数据。
• 安全意识培训应是全面的,适合特定群体,并在整个组织范围内进行。
• 游戏化是将游戏元素应用于其他活动,例如安全意识培训。
• 安全支持者,他们是组织的成员,尽管他们的职位描述不包括安全性,但告知并鼓励在自己的团队中采用安全实践。
• 职业道德为一群人编纂了正确的行为方式。