在信息安全这个领域当中,CISSP认证作为衡量专业能力的关键标准,而第七版官方学习指南即OSG里所介绍的使命映射概念,给安全实践提供了全新的一种视角。这种方法着重强调把安全控制跟组织的核心业务目标直接关联起来,以此确保安全措施不光是为了防御威胁,更是为了对业务使命的达成起到支撑作用。理解并且应用使命映射,能够助力安全专业人员从被动防御转变为主动的价值创造。
为什么使命映射对CISSP认证很重要
使命映射至关重要、关键无比,原因在于它对安全工作着手点予以了改变。以往,安全团队兴许会聚焦于施行技术控制,像防火墙或者入侵检测系统之类,然而要是这些控制未与业务目标达成契合,那就极有可能导致资源出现浪费,甚至对业务运营形成阻碍。依托使命映射,安全专业人员先是领会组织的核心使命,接着推导出支撑该使命的关键资产以及流程,最终再去设计安全控制用以守护这些特定资产。此种方法于CISSP考试里,不单单是得分之处,更是衡量考生能不能从管理层面去思索安全的关键标准。
于实际运用当中,使命映射助力安全工作者借由业务方面的语言去跟高层管理者展开交流,举例来说,当阐释为何要出资于某个安全项目之际,能够确切地指明该项目怎样去削减核心业务出现中断的风险,并非只是一味地谈及技术漏洞,这样的沟通形式更易于获取预算批准以及行政支持,缘由在于它直接把安全投入和业务产出关联起来 。
如何在实际工作中应用使命映射
第一步进行应用使命映射时,要深入去了解组织的业务战略以及关键操作,安全团队得跟业务部门紧密开展合作,识别出那些一旦受损就会对组织生存造成严重影响的资产与流程,比如说对于电子商务公司而言,订单处理系统也许就是核心使命的关键构成部分,而对于研究机构来讲,知识产权数据可能更为关键,基于这样的理解,安全控制的设计便能更具针对性 。
对于已识别出的关键资产,得把它映射到具体的安全控制措施上去。比如说,要是客户数据库属于关键资产,那访问控制、加密以及备份策略就得围绕着保护这个数据库去进行设计。使命映射不是那种只做一次的活动,而是应该被集成到风险管理以及系统开发生命周期当中。要定期去回顾和更新映射关系,以此来保证安全措施始终跟不断演进的业务目标保持一致。
使命映射常见误区有哪些
通常存在一种常见的误区,那便是把使命映射简单地视作资产清单整理。事实上,使命映射更着重于领会资产之间的依赖关系,以及它们怎样一起去支撑业务使命。比如说,保护服务器这件事固然关键,然而要是把连接这些服务器的网络路径给忽视了,那么安全措施或许依旧是不起作用的。另外还有一个误区是过度映射,也就是尝试把每一个小任务都关联到使命上,如此一来可能会致使分析陷入瘫痪状态,反倒丢失了重点。
使命映射需防止出现脱离着实风险的状况,有一些团队或许绘制出了美观的映射图,然而却未把它跟特定的威胁模型以及风险分析相互结合,如此一来,控制举措看似跟使命存在关联,可实际上并未针对最具可能性的攻击路径,恰当的做法是,于映射之后开展风险评估的跟进工作,以保证安全投资优先处置高可能性以及高影响的威胁 。
于您的安全实践期间,您有无试过把安全控制径直与业务使命相联系?碰到了啥挑战?欢迎于评论区去分享您的经验,要是觉着本文有帮助,请点赞并且转发给更多同行。
主题测试文章,只做测试使用。发布者:qinglinet,转转请注明出处:https://www.qlw.net/%e4%bf%a1%e6%81%af%e5%ae%89%e5%85%a8%e7%b1%bb/cissp%e5%9b%bd%e9%99%85%e6%b3%a8%e5%86%8c%e4%bf%a1%e6%81%af%e5%ae%89%e5%85%a8%e4%b8%93%e5%ae%b6/cissp%e8%ae%a4%e8%af%81%e7%9a%84%e5%85%b3%e9%94%ae%e6%a0%87%e5%87%86%ef%bc%9a%e7%ac%ac%e4%b8%83%e7%89%88osg%e4%bd%bf%e5%91%bd%e6%98%a0%e5%b0%84%e6%a6%82%e5%bf%b5%e7%9a%84%e9%87%8d%e8%a6%81%e6%80%a7.html