【THM】Governance&Regulation(网络安全治理与监管)-学习

本文相关的TryHackMe实验房间链接:https://tryhackme.com/room/cybergovernanceregulation

本文相关内容:探索对于规范企业组织的网络安全至关重要的政策和框架。

image-20231215210932931

简介

网络安全是一个快速发展的领域,恶意行为者在不断地试图利用高度敏感的计算机系统中的漏洞,意图损坏、破坏和窃取敏感的企业数据。 为了应对这种不断变化的网络安全威胁趋势,需要采取全面的信息安全治理与监管方法,这类方法要求建立强有力的政策和指导方针,并实施严格的监测和执行机制,以确保合规性。通过对网络安全采取积极主动的战略立场,企业组织可以减轻恶意行为者带来的网络安全风险,并能保护其敏感的计算机系统免受潜在的灾难性破坏。

image-20231215214735835

学习目标

  • 了解治理与监管在网络安全中的作用和重要性;
  • 了解相关国际法律、法规、政策、标准和指导方针;
  • 了解治理、风险管理与合规 (Governance&Risk Management&Compliance-GRC) 框架;
  • 根据国际标准(包括 ISO 27001、NIST 800-53 等)发展和改善企业组织的网络安全态势。

前期知识准备

在学习本文内容之前,建议学习或者复习以下博客内容:

治理&监管的重要性

相关术语(限定语境)

  • Governance(治理):管理和指导企业组织或系统实现其网络安全目标,并确保符合法律、法规和标准。
  • Regulation(监管):管理机构将执行相关法律或规定,以确保企业组织遵守规则并避免其遭受不必要的网络安全危害。
  • Compliance(合规):指遵守适用于企业组织或系统的法律、法规和标准的状态。

信息安全治理

信息安全治理表示企业组织为保证其信息资产的私密性、可靠性和可访问性而设计的既定结构、政策、方法和指导方针。面对日益复杂的网络安全威胁,信息安全治理的重要性也日益凸显,它对于风险管理、保护机密数据免遭未经授权的入侵以及遵守相关法规至关重要。

信息安全治理属于高层管理人员的职责范围,主要包括以下流程:

  • Strategy(战略):制定和实施符合企业组织整体业务目标的全面信息安全战略。
  • Policies and procedures(政策和程序):制定管理信息资产使用以及保护信息资产的政策、程序。
  • Risk management(风险管理):进行风险评估,识别针对企业组织的信息资产的潜在威胁,并实施风险缓解措施。
  • Performance measurement(绩效衡量):建立度量标准和关键绩效指标(KPI)来衡量信息安全治理计划的有效性。
  • Compliance(合规):确保遵守相关法规和行业最佳实践。

image-20231215223526571

信息安全监管

在信息安全范式中,治理和监管紧密相连,但具有不同的含义。信息安全监管是指管理信息资产的使用并为其提供保护的法律和监管框架,监管旨在保护企业组织的敏感数据免遭未经授权的访问、盗窃、滥用,在这个过程中企业组织通常将被要求遵守相关法规,并且相关法律规定还会由政府机构或其他监管机构强制执行。

在信息安全监管中,常见的信息安全法规/标准的示例有:通用数据保护条例 (GDPR)、支付卡行业数据安全标准(PCI DSS)、个人信息保护和电子文件法(PIPEDA)等等。

实施治理与监管的主要优点

以下是实施网络安全治理与监管的好处:

  • 更强大的安全态势:实施全面的安全治理计划并遵守相关法规可以帮助企业组织降低安全漏洞带来的风险,并能保护敏感信息免遭未经授权的访问、盗窃和滥用。
  • 增加利益相关者的信任:有效的安全治理和监管可以通过证明企业组织在认真对待网络安全并已实施了保护敏感数据的措施来增强利益相关者的信任。
  • 满足合规性要求:遵守相关安全法规,如GDPR、HIPAA和PCI DSS等,可以帮助企业组织避免因不遵守法规而受到法律和经济处罚以及声誉损害。
  • 更好地与业务目标保持一致:安全治理框架可以帮助企业组织将其信息安全策略与其整体业务目标结合起来,并能确保安全措施具有成本效益,从而有助于企业组织的成功。
  • 方便制定明智的决策:安全治理计划可以为决策者提供做出应对信息安全风险的复杂决策所需的知识,从而确保在最需要的地方实现有效的安全措施。
  • 带来竞争优势:有效的安全治理以及积极遵守相关的安全法规可以充分展示该企业组织对于保护敏感数据的诚意,并且将大大增强利益相关者的信任,因此能够让企业组织拥有一定的竞争优势。

image-20231215231241730

相关法律法规

特定的法律和法规能够保证网络安全治理与监管这个生态系统的良好运行。

关于网络安全的一系列法律法规为企业组织提供了一个结构化的框架,这个框架可用于建立最低合规标准、促进问责制度和加强机构信任、鼓励提出创新方法来保护关键系统和数据。

网络安全相关法律法规通过提供清晰而简洁的规则,有效地减少了歧义,并为企业组织提供了一种衡量其安全状况和确保合规性的通用语言,以下是一些相关法律法规的概述:

tips:此处介绍的仅仅是西方的一些相关法律法规,适当参考即可。

法律/法规 领域 描述
通用数据保护条例(GDPR) 数据隐私与保护(Data Privacy & Protection) GDPR是欧盟推行的一项法规,对企业组织如何处理、保护欧盟公民和居民的个人数据设定了严格的要求
健康保险携带和责任法案(HIPAA) 医疗保健服务(Healthcare) 一项美国官方法律,旨在维护公民健康相关信息的敏感性
支付卡行业数据安全标准(PCI-DSS) 金融(Financial) 制定技术和操作要求,以确保商家、服务提供商和其他处理支付卡的实体安全地处理、存储、加工和传输持卡人数据
格雷姆-里奇-布里利法案(GLBA) 金融(Financial) 美国的一项法律,旨在保护金融服务客户的隐私信息,法案规定了金融机构必须制定和执行隐私保护措施,以保护客户的非公开个人信息(NPI)

答题

阅读本小节内容并回答以下问题:

image-20231215233759182

信息安全框架

概念介绍

信息安全框架提供了一套全面的文档,概述了企业组织的信息安全方法,并控制了在企业组织内如何实施、管理和执行安全策略,该框架主要包括:

  • Policies(政策):一份为实现特定目标而概述了组织的目标、原则和指导方针的正式声明。
  • Standards(标准):一份为特定程序、产品或服务而建立的包含特定要求、规范的文件。
  • Guidelines(指导方针,准则):一份为实现特定目的或目标提供建议和最佳实践(非强制性)的文件。
  • Procedures(程序):执行特定任务或流程的一组具体步骤。
  • Baselines(基线):一个组织或系统必须满足的一套最低安全标准/要求。

tips:关于上述名词的解释均限定在网络安全的语境下。

制定安全治理文件

以下是一些用于制定网络安全政策、标准和指导方针等内容的通用步骤:

  • 确定范围和目的:确定文件将涵盖的内容以及为什么需要相关内容,例如,我们可能需要制定密码策略来确保用户密码的健壮性和安全性,或者我们可能需要设置安全基线来为所有系统建立最低级别的安全性。
  • 研究和审查:研究相关法律、法规、行业标准和最佳实践,以确保我们的文件内容全面且最新;审查现有政策、程序和其他文件,以避免出现重复工作或者避免相关工作与现有指导方针相矛盾。
  • 起草文件:制定大纲并开始起草文件,遵循最佳实践以编写清晰简洁的政策、程序、标准、指导方针和基线,并且确保该文件内容具体、可操作以及符合组织的目标和价值观。
  • 审查和批准:让利益相关者(例如相关主题的专家、法律和合规团队以及高级管理层)审查文件,纳入他们的反馈并确保文档内容符合组织的目标和价值观,进而获得相关利益相关者的最终批准。
  • 实施和沟通:将文件传达给所有相关员工和利益相关者,并确保他们能够了解自己在文件实施过程中的角色和责任,制定相关的培训(包括意识培训)计划,从而确保已制定的文件内容能够更好地被理解和遵循。
  • 审查和更新:定期审查和更新文件,以确保其内容保持相关性和实用性;定期监控文件的合规性,并根据威胁形势或监管环境的反馈和变化及时调整文件内容。

image-20231217051021433

通过现实场景进行解释

接下来,我们将通过一些现实场景来充分理解制定上述文档的步骤。

如果我们想为企业组织制定密码策略以维护网络安全,我们通常可以:

  • 定义密码要求:密码的最小长度、复杂性和有效期。
  • 定义密码使用准则:指定密码的使用方式,例如要求每个帐户使用唯一的密码、禁止共享密码以及禁止使用默认密码。
  • 定义密码存储和传输准则:使用加密算法来处理密码存储过程,并且规定只有在建立安全连接的基础上才能进行密码传输。
  • 定义密码更改和重置准则:规定密码应该多久换一次等等。
  • 传达策略:向所有相关员工和利益相关者传达密码政策,并确保他们了解关于密码策略相关的要求和准则,制定相关的培训(包括意识培训)计划以确保员工遵守已指定的密码策略。
  • 监控合规性:监控密码策略的合规性,并根据威胁环境或监管环境的反馈和变化按需调整密码策略。

如果我们想为企业组织制定事件响应程序以维护网络安全,我们通常可以:

  • 定义事件类型:例如未经授权的访问、恶意软件感染或者数据泄露等网络安全事件类型。
  • 定义事件响应中的角色和职责:确定利益相关者,例如事件响应团队成员、IT人员、法律和合规团队以及高级管理层。
  • 制定详细步骤:制定应对每种类型的事件的分步程序,包括初始响应步骤(如遏制事件和保存证据)、分析和调查步骤(如确定根本原因并评估影响)、响应和恢复步骤(如缓解事件、撰写报告和恢复系统正常运行)。
  • 传达:传达事件响应程序。
  • 审查:定期审查并更新事件响应程序。

企业组织有时只需要制定标准、框架或基线,他们往往会遵循并使用与特定领域或学科相关的已制定文件,例如金融企业可能会遵循PCI-DSS和GLBA等法律法规,医疗保健企业可能会遵循HIPPA法案等。企业组织在决定应该使用哪种安全基线检查表的标准框架时会考虑许多因素,包括与特定地理区域、范围、目标、可用资源等相关的监管要求等。

答题

阅读本小节内容并回答以下问题:

image-20231217054706192

治理、风险管理与合规(GRC)

正如我们上文所提及的那样,信息安全治理和合规对于维持任何组织的整体网络安全态势都是必要的,但如何实现呢?这就需要我们引入“治理、风险管理与合规“框架,即GRC框架。GRC框架侧重于以集成的方式指导企业组织的整体安全治理、企业风险管理和安全合规,它是一种全面的信息安全方法,能够与企业组织的目标/目的保持一致,并有助于确保企业组织在相关法规和行业标准的范围内良好运作。

GRC框架由以下三个部分组成:

  • 安全治理(Governance)组件:通过信息安全战略(政策、标准、基线、框架等)设定方向来指导企业组织,并且建立适当的监测方法来衡量其绩效以及评估结果。
  • 风险管理(Risk Management)组件:识别、评估组织风险并确定风险的优先级,以及实施控制和缓解策略来有效地管理风险;这包括监控和报告风险以及持续评估和完善风险管理计划以确保相关计划的持续有效性。
  • 安全合规(Compliance)组件:确保企业组织履行其法律、监管和行业义务,并确保企业组织的活动符合其政策和程序;这包括制定和实施合规计划、进行定期审计和评估以及向利益相关者报告具体的合规问题。

image-20231217061053991

如何制定通用的 GRC 计划

一个完善和实施良好的网络安全GRC计划可以提供一个综合框架,用于管理风险、遵守法规和标准以及改善组织的整体安全前景。它使得有效的安全治理、风险管理和合规活动成为可能,它能够减轻网络事件的影响并能确保企业组织的业务弹性。

在本小节中,我们将探讨如何制定和实施GRC框架,这涉及了多个步骤,因此我们将使用合适的例子来解释相关步骤,以便我们可以轻松地理解:

  • 定义范围和目标:此步骤涉及确定GRC计划的范围并定义其目标,例如,公司可以为其客户数据管理系统实施GRC计划,其目标可能是在未来12个月内将网络风险降低到50%,同时保持客户的信任。
  • 进行风险评估:在此步骤中,企业组织将识别并评估自身的网络安全风险,例如,风险评估可能会揭示公司的客户数据管理系统由于访问控制薄弱或者软件已经过时而容易受到外部攻击,然后,企业组织就可以优先考虑处理这些风险并制定相关的风险管理策略。
  • 制定政策和程序:制定政策和程序是为了指导企业组织内的网络安全实践,例如,公司可能会建立密码策略以确保用户使用强密码,公司也可以实施日志记录以及监控系统访问程序来检测可疑活动。
  • 建立安全治理流程:安全治理流程可以确保GRC计划得到有效管理和控制,例如,企业组织可能会建立一个安全指导委员会,定期开会审查安全风险并就安全投入和安全优先级做出决策,定义角色和职责以确保每个人都能理解他们在安全治理项目中的角色。
  • 实施风险控制措施:实施技术和非技术控制手段以减轻在风险评估中所发现的风险,例如,公司可能会部署防火墙、入侵防御系统(IPS)、入侵检测系统(IDS)、安全信息和事件管理(SIEM)来防止外部攻击,并会对员工进行相关培训,以提高员工的安全意识和降低因人为出错而导致的网络安全风险。
  • 监视和测量绩效:建立流程来监控和衡量GRC计划的有效性,
  • 持续改进:

示例 - 金融领域的 GRC 框架

为了充分理解GRC框架的每个组成部分,我们有必要引入一个现实世界的示例。

接下来我们将简单介绍金融行业如何实施GRC框架的各个组成部分:

  • 安全治理的相关活动:提名执行安全治理的人员,制定与金融相关的网络安全政策,如银行保密法、反洗钱政策、财务审计政策、财务报告、危机管理等。
  • 风险管理活动:识别潜在风险以及其可能导致的后果,并思考应对措施,如金融欺诈风险、通过网络攻击进行的欺诈交易、通过网络钓鱼窃取凭据、伪造ATM卡等。
  • 合规活动:采取措施满足法律要求和行业标准,如PCI DSS, GLBA等,此外,还包括实施SSL/TLS等正确的方法以避免中间人(MITM)攻击,针对未打补丁的软件实行自动补丁管理,为用户提供安全意识培训,以保护他们免受网络钓鱼攻击,等等。

答题

阅读本小节内容并回答以下问题:

image-20231217064943387

隐私和数据保护

在金融、医疗保健、政府和工业等各个领域,隐私和数据保护法规都至关重要,因为它们涉及公民的个人身份信息(PII)。隐私法规有助于确保以负责任且合乎道德的方式处理和存储个人信息,还有助于建立信任、保护个人信息以及维护监管合规性。接下来,我们将介绍有关隐私和数据保护法规及其目的的基本要点,这将帮助我们理解为什么数据保护法规至关重要。

通用数据保护条例 (GDPR)

GDPR是欧盟于2018年5月实施的一项数据保护法,旨在保护个人数据,个人数据是指“与个人相关的、可用于直接或间接识别个人身份的任何数据”,该法律的要点包括:

  • 收集任何个人数据之前必须获得事先批准;
  • 在收集数据时个人数据应该保持在最低限度,并且只有在必要时才能进行个人数据收集。
  • 必须采取适当措施来保护已储存的个人数据。

image-20231217112931115

该法律适用于在欧盟开展业务和收集、存储、处理欧盟居民个人数据的所有商业实体,并要求必须遵守。GDPR是世界上最严格的数据隐私法规之一,是在数据收集的过程中对个人数据进行保护。公司只有基于正当理由才能收集个人数据,并且必须将数据的处理情况及时告知数据所有者。此外,这条法规还包括以下两个级别的违规处罚情况和罚款事项:

  • 第1级:较严重的违规行为,包括无意的数据收集、未经同意与第三方共享个人敏感数据等,最高罚款金额为该企业组织收入的4%或2000万欧元(以较高者为准)。
  • 第2级:不太严重的违规行为,包括数据泄露通知不及时、组织未能制定和执行适当的网络安全政策等,最高罚款金额是该企业组织收入的2%或1000万欧元(以较高者为准)。

支付卡行业数据安全标准(PCI-DSS)

PCI DSS专注于维护信用卡交易安全以及防止数据盗窃和欺诈行为,它被企业(主要是在线企业)广泛用于基于支付卡的交易。PCI-DSS是由主要信用卡品牌(Visa、万事达卡和美国运通卡)建立的,它会严格控制对持卡人信息的访问并且会监控未经授权的访问,还会使用web应用程序防火墙和加密算法等推荐措施来保护敏感信息。

有关PCI-DSS标准的更多信息,请参考:https://docs-prv.pcisecuritystandards.org/PCI DSS/Supporting Document/PCI_DSS-QRG-v4_0.pdf

答题

阅读本小节内容并浏览PCI DSS标准文档,然后回答以下问题:

image-20231217121003274

NIST相关特刊

NIST 800-53介绍

NIST 800-53是一份标题为“信息系统和组织的安全、隐私控制”的刊物,它由美国国家标准与技术研究院(NIST)制定。该刊物提供了一系列安全控制措施,以保护CIA三要素信息系统;此外,该刊物还为组织提供了一个用于评估和加强其信息系统的安全性、隐私性以及遵守各项法律、法规和政策的框架,它结合了多个来源的最佳实践,包括行业标准、指导方针和国际框架。

NIST 800-53要点

NIST 800-53提供了一套全面的安全和隐私控制,企业组织可以使用它们来保护其运营、资产、人员以及其他相关子组织免受各种威胁和风险的影响,这些威胁和风险包括故意攻击、无意的错误、自然灾害、基础设施故障、外国情报活动和隐私问题。

NIST 800-53修订版5将安全控制分为20个系列,每个系列解决一个特定的安全问题类别,我们可在以下链接的第2.2节中了解更多关于安全控制的信息:

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf

image-20231217211558854

image-20231217211624572

制定和实施基于NIST 800-53的信息安全计划

在所有系列中,“项目管理”是NIST 800-53框架的关键安全控制之一。项目管理控制要求建立、实施和监控企业组织范围内的信息安全和隐私项目,同时还要求保护通过系统处理、存储或传输的信息。为了确保项目管理能够顺利进行,我们通常需要实施以下子控制项:

image-20231218073430812

NIST 800-53最佳合规实践

首先,企业必须执行彻底的发现流程,以识别和分类其数据资产、信息系统和相关威胁,这包括了解数据流、系统依赖关系和潜在的漏洞;其次,NIST 800-53安全控制系列必须映射到已识别的资产和危害,从而创建一个结构化的方法,以使得安全控制更加容易与企业组织的需求相匹配;再次,建立安全治理结构、分配职责、制定精确的安全控制实施和维护程序,这些都是有效管理得以实施的必要条件,并且所有措施都必须定期监控和评估,以确保满足合规性要求;最后,企业组织还应建立有效的监控系统,以识别和解决安全问题、进行例行评估和审计并改进安全控制的实施。通过遵循这样的最佳实践,企业组织可以成功实施NIST 800-53并增强其安全前景,同时还能有效降低风险。

image-20231218074530364

NIST 800-63B

NIST 800-63B特刊是NIST所创建的一套指南,旨在帮助企业组织建立有效的数字身份实践,它的主要重点是对访问数字服务、系统和网络的个人进行身份验证和确认。该指南可以为不同级别的身份保证(从基本保证到高级保证)提供建议,该指南还提供了关于使用身份验证因素(包括密码、生物识别技术和令牌)以及安全管理和存储用户凭据的建议。

答题

阅读本小节内容并浏览相关文档,然后回答以下问题:

image-20231218082021006

信息安全管理与合规

安全措施的战略规划、执行和持续管理都是信息安全(IS)管理的一部分。信息安全管理能够保护信息资产免遭未经授权的访问、使用、披露、中断、更改和破坏,它主要涉及风险评估和识别、安全控制和程序制定、事件响应计划以及安全意识培训等等,而合规是指企业组织应遵守与信息安全相关的法律、法规、合同和行业特定标准等。

在IS管理和合规方面,我们将介绍两个常见的关键标准。

ISO/IEC 27001

ISO 27001是一个国际认可的标准,通常用于规划、制定、运行和更新企业组织的信息安全管理体系(ISMS)。

tips:信息安全管理体系(Information Security Management System,简称ISMS)是一个组织内部的框架和流程,用于确保信息安全的管理和保护,ISMS旨在通过采用系统化的方法来管理信息安全,以确保组织对信息安全的关注得以整合、协调和持续推进。

ISO 27001为组织提供了建立、实施、维护和持续改进ISMS的框架,以下是 ISMS 的一些关键要素和原则:

  1. 风险管理: ISMS侧重于识别、评估和处理信息安全风险;这包括对潜在威胁和漏洞的分析,以及采取措施来降低或管理这些风险。

  2. 政策和程序: ISMS包括了定义和实施信息安全政策、程序和控制措施的要素;这些政策和程序通常基于一些国际标准和最佳实践。

  3. 安全控制: ISMS强调实施各种安全控制措施,以保护组织的信息资产;这可能包括访问控制、加密、网络安全、物理安全等。

  4. 监测和持续改进: ISMS要求组织建立监测和评估机制,以确保信息安全措施的有效性,并要求通过定期的内部和外部审核来不断改进ISMS。

  5. 合规性:ISMS通常还涉及了如何确保组织符合已适用的法规、法律、合同中的信息安全要求。

通过实施ISMS,组织能够更好地管理其信息安全风险,提高对潜在威胁的应对能力,并建立对信息资产的保护机制。

ISO/IEC 27001官方文件是付费的,它由国际标准化组织(ISO)和国际电工委员会(IEC)制定,主要具有以下核心组件:

  • 范围:这指定了ISMS(信息安全管理体系)的边界,包括其涵盖的资产和流程。
  • 信息安全策略:定义组织信息安全方法的高级文件。
  • 风险评估:包括识别和评估关于组织信息的机密性、完整性和可用性方面的风险。
  • 风险处理:包括选择和实施安全控制措施,以将已识别的风险降低到可接受的水平。
  • 适用性声明(SoA-Statement of Applicability):本文档将指定标准中的哪些安全控制措施适用,以及哪些安全措施不适用。
  • 内部审计:这包括对ISMS(信息安全管理体系)进行定期审计,以确保其有效运行。
  • 管理审查:定期审查ISMS(信息安全管理体系)的绩效。

image-20231218091959501

基于ISO 27001标准构建的ISMS需要仔细的设计和执行,它需要详尽地评估组织的安全程序、发现漏洞并进行彻底的风险评估。在设计ISMS时,必须创建明确的规则和流程并且需要符合ISO 27001的要求,相关示例包括良好的访问控制机制、事件响应机制等等,此外,公司领导的支持以及合适的资源分配对于ISMS的成功实施也至关重要。

定期监控、衡量和持续发展是保持ISMS有效性的关键,同时,这也能保证ISMS与组织目标具有持续一致性。

SOC 2

SOC 2(Service Organization Control 2-服务组织控制 2)是由美国注册会计师协会(AICPA)所制定的一个合规/审计框架,它侧重于根据CIA三元素来评估企业组织用于保护数据安全的措施的有效性。SOC 2可以让客户、利益相关者和业务合作伙伴相信公司已经采取了足够的安全控制措施来保护其系统、数据和敏感信息。

SOC 2框架对于服务提供商与客户端数据进行交互或者提供处理、存储、传输敏感数据的解决方案至关重要,它帮助企业展示其坚持严格的隐私和安全标准的决心。客户经常要求提供SOC 2报告,或将其作为竞争优势,因为这在一定程度上可保证合作客户的信息得到安全的处理。更多相关信息请参考以下链接:

https://soc2.co.uk/

关于SOC 2的要点介绍:

  • SOC 2是一项审核标准,用于评估服务组织在机密性、可用性、完整性和隐私性方面所实施的安全控制措施是否有效。
  • 通常由独立审核员对服务组织进行SOC 2审核,以确定指定服务组织的安全控制措施是否符合相关标准。
  • SOC 2报告能为客户、利益相关者和监管机构提供有关服务组织在安全和隐私实践方面的宝贵信息,该报告可以用来证明服务组织实施了足够的安全控制措施来保护其用于处理客户信息的数据和系统,例如,一家为其他企业提供基础设施服务的云计算公司可能会接受SOC 2审核,以证明其能够实施充分的安全控制措施来保护存储在其服务器上的客户数据;SOC 2审核可能涵盖了服务组织的物理安全、网络安全、数据加密、备份和恢复以及员工培训(包括安全意识培训)。
  • SOC 2审核报告将评估指定服务组织(如某家云计算公司)现有的安全控制措施,并包括任何可用于改进措施的发现或建议,这些评估信息可以与客户、其他利益相关者共享,以确保相关的服务组织(如某家云计算公司)能够采取适当的措施来保护其数据和系统。

SOC 2报告关注服务组织的信息安全管理体系,特别是与客户数据相关的方面,该信息安全标准包括五个 "Trust Service Criteria"(信任服务标准),分别是:

  1. 安全性(Security):评估服务组织对系统和数据的保护措施是否足够安全,确保其能够维护数据的安全性、隐私性和完整性。

  2. 可用性(Availability):评估服务组织能否确保其系统及相关信息具有可用性。

  3. 处理完整性(Processing Integrity):评估服务组织的系统能否执行准确、及时和完整的数据处理操作。

  4. 机密性(Confidentiality):评估服务组织能否确保客户信息的机密性。

  5. 隐私性(Privacy):评估服务组织用于处理个人信息的隐私保护措施是否有效。

SOC 2报告通常需要由独立的第三方审计机构进行审核而得出,进行SOC 2审核的主要目的是确保第三方服务提供商能够安全地存储和处理敏感信息。通过SOC 2认证,服务组织能够向其客户和合作伙伴证明其信息安全管理体系的可信度和有效性,这对于那些处理敏感客户数据的云服务提供商、软件即服务(SaaS)公司等特别重要。

规划并进行SOC 2审核

相关服务组织(如某金融公司)的管理团队可以在SOC 2审核前和审核期间采取以下步骤:

  • 确定范围:这可能包括与客户数据的安全和隐私相关的特定系统、关键业务流程、数据存储位置等。
  • 选择合适的审核人员:选择一位具有为某领域服务组织(如金融公司)进行SOC 2审核经验的合格审核员,适当考虑审核员的声誉、经验和可用性等因素。
  • 规划审核:与审核员合作规划审核,包括审核时间表、审核范围和审核标准等。
  • 准备审核:相关服务组织将通过评估自身的安全和隐私控制、安全政策和安全程序来为审核做好准备,尝试找出任何差距或缺陷,并制定相应的解决方案。
  • 进行审核:审核员将审核相关服务组织的安全控制措施并进行测试以评估其有效性,具体的审核可能包括与关键人员进行面谈、进行文件审查和安全控制测试。
  • 接收审核报告:在审核完成后,审核员将提供一份详细说明审核结果的报告,该报告可能包括对相关服务组织的安全控制措施的描述、已经发现的任何缺陷或差距以及相应的改进建议。

image-20231218213746555

上图显示了在某家金融公司的SOC 2审核期间将要根据审核范围而进行检查的通用安全控制措施,除此之外,还包括一些安全技术和具体安全控制,例如确保在数据传输时对数据加密以及确保采取了网络安全措施、事件管理措施等。

答题

阅读本小节内容并回答以下问题:

image-20231218214000494

本文小结

本文概述了制定有效的信息安全治理和监管框架以保护企业组织的宝贵资产、敏感信息的重要性。我们了解了一些有关隐私和数据保护的各种法律法规,例如GDPR 和PCI DSS,本文还介绍了安全治理、风险管理与合规性(GRC)框架的概念,并解释了如何在现实场景中制定有效的GRC计划。

此外,本文还重点介绍了不同的网络安全治理推动因素,例如ISO/IEC 27001、NIST 800-53和NIST特刊 800-63B,并解释了它们如何为企业组织提供信息安全保护。由于新的网络安全威胁和漏洞在不断出现,因此信息安全其实是一个相对的概念,虽然实现100%的安全性是不现实的,但是一个积极主动的企业组织深知持续实施强大的安全策略以降低风险并保护敏感数据的必要性。

答题

查看与本文相关的Tryhackme实验房间中的示例网站页面,完成示例练习并使用最终得到的flag回答问题:

tips:如下图所示,请在右侧选择一个控件/框架并瞄准页面中相应的漏洞气泡,将鼠标悬停在代表漏洞的气泡上就能查看它所代表的问题。

image-20231218222818942

如下图所示,缺陷是“网络钓鱼电子邮件”,我们选择“用户意识”:

image-20231218223511793

完成上述操作之后会弹出一个问题,下图中的问题为:以下哪一项是NIST制定的有关信息系统和组织的安全、隐私控制的有效出版物?

tips:我们选择NIST 800-53即可。

image-20231218223123484

继续进行操作(缺陷是“软件未打补丁”,我们选择“自动补丁管理”):

image-20231218223759845

然后回答弹出的问题:以下哪个框架主要用于帮助信息安全管理与合规?

image-20231218224003932

继续进行操作(缺陷是“中间人攻击”,我们选择“安全连接-SSL/TLS”):

image-20231218224056433

继续进行操作(缺陷是“数据泄露”,我们选择“GDPR”):

image-20231218224140141

继续进行操作(缺陷是“不受监管的/不合规的”,我们选择“SOC2”):

image-20231218224210814

得到flag:

image-20231218224238382

回答问题:

image-20231218224254178

posted @ 2023-12-18 23:18  Hekeatsll  阅读(184)  评论(0编辑  收藏  举报