解雇策略規(guī)定解雇員上的程序，應(yīng)該包括有現(xiàn)場(chǎng)證人、禁用員工的網(wǎng)絡(luò)訪問權(quán)限和執(zhí)行離職面談等內(nèi)容。解雇策略還應(yīng)包括護(hù)送被解雇員工離開公司， 并要求其歸還安全令牌、徽章和公司財(cái)產(chǎn)。

12、供應(yīng)商、顧問和承包商的控制。

供應(yīng)商、顧問和承包商的控制用千確定組織主要的外部實(shí)體、人員或組織的績(jī)效水平、期望、補(bǔ)償金額和影響。通常，這些控制條款在 SLA 檔或策略中規(guī)定。

13、 策略合規(guī)。

合規(guī)是符合或遵守規(guī)則、策略、法規(guī)、標(biāo)準(zhǔn)或要求的行為。對(duì)安全治理來(lái)說(shuō)，合規(guī)是一項(xiàng)重要內(nèi)容。在個(gè)人層面，合規(guī)與員工個(gè)人是否遵守公司策略并按照規(guī)定的程序執(zhí)行工作任務(wù)有關(guān)。

14、隱私如何融入 IT 安全領(lǐng)域。

了解隱私的多重含義／足義、為什么必須保護(hù)隱私以及 與隱私相關(guān)的問題（尤其是在工作環(huán)境中）

15、 定義整體的風(fēng)險(xiǎn)管理。

風(fēng)險(xiǎn)管理過(guò)程包括識(shí)別可能造成數(shù)據(jù)損壞或泄漏的因素，根據(jù)數(shù)據(jù)價(jià)值和控制措施的成本評(píng)估這些因素，并實(shí)施具有成本效益的解決方案來(lái)減輕或者降低風(fēng)險(xiǎn)。通過(guò)執(zhí)行風(fēng)險(xiǎn)管理，為全面降低風(fēng)險(xiǎn)奠定基礎(chǔ)。

16、風(fēng)險(xiǎn)分析和相關(guān)要素。

風(fēng)險(xiǎn)分析是向高層管理人員提供詳細(xì)信息以決定哪些風(fēng)險(xiǎn)應(yīng)該緩解、哪些風(fēng)險(xiǎn)應(yīng)該轉(zhuǎn)移、哪些風(fēng)險(xiǎn)應(yīng)該接受的過(guò)程。要全面評(píng)估風(fēng)險(xiǎn)并采取適當(dāng)?shù)念A(yù)防措施，必須分析以下內(nèi)容：資產(chǎn)、資產(chǎn)估值、威肋、脆弱性、暴露、風(fēng)險(xiǎn)、已實(shí)現(xiàn)風(fēng)險(xiǎn)、防護(hù)措施、控制措施、攻擊和破壞

17、 如何評(píng)估威脅。

威脅有許多來(lái)源，包括 IT 、人類和自然。應(yīng)該以團(tuán)隊(duì)形式評(píng)估威脅，以提供最廣泛的視角。通過(guò)從各個(gè)角度全面評(píng)估風(fēng)險(xiǎn)，可降低系統(tǒng)的脆弱性。

18、定性風(fēng)險(xiǎn)分析。

定性風(fēng)險(xiǎn)分析更多的是基于場(chǎng)景，而不是基于計(jì)算。這種方式不用具體的貨幣價(jià)值表示可能的損失，而是對(duì)威脅進(jìn)行分級(jí)，以評(píng)估其風(fēng)險(xiǎn)、成本和影響。這種分析方式可幫助那些負(fù)責(zé)制訂適當(dāng)?shù)娘L(fēng)險(xiǎn)管理策略的人員。

19、 Delphi 技術(shù)。

Delphi 技術(shù)是一個(gè)簡(jiǎn)單的匿名反饋和響應(yīng)過(guò)程，用于達(dá)成共識(shí)。這樣的共識(shí)讓各責(zé)任方有機(jī)會(huì)正確評(píng)估風(fēng)險(xiǎn)并實(shí)施解決方案。

20、定量風(fēng)險(xiǎn)分析。

定量風(fēng)險(xiǎn)分析聚焦于貨幣價(jià)值和百分比。完全靠定量分析是不可能的，因?yàn)轱L(fēng)險(xiǎn)的某些方面是無(wú)形的。定量風(fēng)險(xiǎn)分析包括資產(chǎn)估值和威脅識(shí)別，然后確定威脅的潛在發(fā)生頻率和造成的損害，生成具有防護(hù)措施的成本／效益分析的風(fēng)險(xiǎn)響應(yīng)任務(wù)。

21、暴露因子（SLE）概念。

暴露因子是定量風(fēng)險(xiǎn)分析的一個(gè)要素，表示如果已發(fā)生的風(fēng)險(xiǎn)對(duì)某個(gè)特定資產(chǎn)造成了破壞，組織將因此遭受的損失百分比。通過(guò)計(jì)算風(fēng)險(xiǎn)暴露因子，可實(shí)施良好的風(fēng)險(xiǎn)管理策略

22、單一損失期望(SLE) 的含義和計(jì)算方式。

SLE 是定量風(fēng)險(xiǎn)分析的一個(gè)要素，代表已發(fā)生的單個(gè)風(fēng)險(xiǎn)給特定資產(chǎn)帶來(lái)的損失。

計(jì)算公式為：SLE＝資產(chǎn)價(jià)值(AV) ＊暴露因子(EF)

23、年度發(fā)生率(ARO)

ARO 是定量風(fēng)險(xiǎn)分析的一個(gè)要素，代表特定威脅或風(fēng)險(xiǎn)在一年內(nèi)發(fā)生（或成為現(xiàn)實(shí)）的預(yù)期頻率。進(jìn)一步了解 ARO, 你將能計(jì)算風(fēng)險(xiǎn)并采取適當(dāng)?shù)念A(yù)防措施。

24、 年度損失期望(ALE) 的含義和計(jì)算方式。

ALE 是定量風(fēng)險(xiǎn)分析的一個(gè)要素，指的是特定資產(chǎn)面臨的所有可發(fā)生的特定威脅在年度內(nèi)可能造成的損失成本。

計(jì)算公式為： ALE= 單損失期望(SLE) ＊年度發(fā)生率(ARO ）

25、評(píng)估防護(hù)措施的公式。

除了確定防護(hù)措施的年度成本外，還需要為資產(chǎn)計(jì)算防護(hù)措施實(shí)施后的 ALE 。

可使用這個(gè)計(jì)算公式：防護(hù)措施對(duì)公司的價(jià)值＝防護(hù)措施實(shí)施前的 ALE-防護(hù)措施實(shí)施后的 ALE－防護(hù)措施的年度成本，或＝（ALEI-ALE2)-ACS

26、 處理風(fēng)險(xiǎn)的方法。

• 風(fēng)險(xiǎn)降低（即風(fēng)險(xiǎn)緩解）就是防護(hù)措施和控制措施的實(shí)施。
• 風(fēng)險(xiǎn)轉(zhuǎn)讓或風(fēng)險(xiǎn)轉(zhuǎn)移是指將風(fēng)險(xiǎn)造成的損失成本軋嫁給另一個(gè)實(shí)體或組織；購(gòu)買保險(xiǎn)是風(fēng)險(xiǎn)轉(zhuǎn)移的 一種形式。
• 風(fēng)險(xiǎn)威懾是指對(duì)可能違反安全和策略的違規(guī)者實(shí)施威懾的過(guò)程。
• 風(fēng)險(xiǎn)規(guī)避是選擇替代的選項(xiàng)或活動(dòng)的過(guò)程，替代選項(xiàng)或活動(dòng)的風(fēng)險(xiǎn)低于默認(rèn)的、通用的、權(quán)宜的或廉價(jià)的選項(xiàng)。
• 風(fēng)險(xiǎn)接受意味著管理層已經(jīng)對(duì)可能的防護(hù)措施進(jìn)行了成本／效益分析，并且確定防護(hù)措施的成本遠(yuǎn)大于風(fēng)險(xiǎn)可能造成的損失成本。這也意味著管理層同意接受風(fēng)險(xiǎn)發(fā)生后的結(jié)果和損失

27、 總風(fēng)險(xiǎn)、殘余風(fēng)險(xiǎn)和控制間隙。

總風(fēng)險(xiǎn)是指如果不實(shí)施防護(hù)措施，組織將面臨的全部風(fēng)險(xiǎn)。可用這個(gè)公式計(jì)算總風(fēng)險(xiǎn)：威脅＊脆弱性＊資產(chǎn)價(jià)值＝總風(fēng)險(xiǎn)。殘余風(fēng)險(xiǎn)是管理層選擇接受而不去減輕的風(fēng)險(xiǎn)。總風(fēng)險(xiǎn)和殘余風(fēng)險(xiǎn)之間的差額是控制間隙，即通過(guò)實(shí)施防護(hù)措施而減少的風(fēng)險(xiǎn)。殘余風(fēng)險(xiǎn)的計(jì)算公式為：總風(fēng)險(xiǎn)－控制間隙＝殘余風(fēng)險(xiǎn)。

28、 控制類型。

術(shù)語(yǔ)“安全控制”指執(zhí)行各種控制任務(wù)，例如確保只有授權(quán)用戶可以登錄，以及防止未授權(quán)用戶訪問資源?？刂祁愋桶A(yù)防、檢測(cè)、糾正、威懾、恢復(fù)、指示和補(bǔ)償?？刂埔部筛鶕?jù)其實(shí)施方式分為管理性、邏輯性／技術(shù)性或物理性控制。

29、 安全控制評(píng)估(SCA)

SCA 是根據(jù)基線或可靠性期望對(duì)安全基礎(chǔ)設(shè)施的各個(gè)機(jī)制進(jìn)行的正式評(píng)估。

30、安全監(jiān)控和測(cè)量。

安全控制提供的收益應(yīng)該是可被監(jiān)控和測(cè)量的。如果安全控制提供的收益無(wú)法被量化、評(píng)估或比較，那么這種控制實(shí)際上沒有提供任何安全。

31、 風(fēng)險(xiǎn)報(bào)告。

風(fēng)險(xiǎn)報(bào)告涉及風(fēng)險(xiǎn)報(bào)告的編制，以及將該報(bào)告呈現(xiàn)給利益相關(guān)方的過(guò)程。 風(fēng)險(xiǎn)報(bào)告應(yīng)能準(zhǔn)確、及時(shí)、全面地反映整個(gè)組織的情況，能清晰和準(zhǔn)確地支持決策的制訂，并定期更新

32、 持續(xù)改進(jìn)的必要性。

安全在不斷變化。因此，隨著時(shí)間的推移，任何已實(shí)施的安全解決方案都需要進(jìn)行更新。如果已使用的控制措施不能持續(xù)改進(jìn)，則應(yīng)該將其替換成可擴(kuò)展的改進(jìn)控制措施

33、 風(fēng)險(xiǎn)成熟度模型。

風(fēng)險(xiǎn)成熟度模型(RMM)從成熟、可持續(xù)和可重復(fù)方面評(píng)估風(fēng)險(xiǎn)管理流程的關(guān)鍵指標(biāo)和活動(dòng)。 RMM 分為初始級(jí)、預(yù)備級(jí)、定義級(jí)、集成級(jí)和優(yōu)化級(jí)。

34、遺留系統(tǒng)安全風(fēng)險(xiǎn)。

遺留系統(tǒng)通常是一種威脅，因?yàn)樗鼈兛赡軣o(wú)法從供應(yīng)商處獲得安全更新。生產(chǎn)期終止(EOL)是指制造商不再生產(chǎn)產(chǎn)品的時(shí)間點(diǎn)。服務(wù)期終止(EOSL) 或支持期終止(EOS)是指不能再?gòu)墓?yīng)商處接收更新和支持。

35、風(fēng)險(xiǎn)框架。

風(fēng)險(xiǎn)框架是關(guān)于如何評(píng)估、解決和監(jiān)控風(fēng)險(xiǎn)的指南或方法。 CISSP 考試參考的風(fēng)險(xiǎn)框架主要是 NIST SP 800-37 Rev.2 中定義的風(fēng)險(xiǎn)管理框架(RMF)。 其他風(fēng)險(xiǎn)管理框架還包括： ISO/IEC 31000 ISO/IEC 31004 COSO IT 風(fēng)險(xiǎn)框架、 OCTAVE FAIR TARA

36、 社會(huì)工程。

社會(huì)工程是一種利用人類天性和人類行為的攻擊形式。常在社會(huì)工程中使用的原理有權(quán)威、恐嚇、共識(shí)、稀缺性、熟悉、信任和緊迫生。此類攻擊可通過(guò)使用借口和／或前置詞來(lái)獲取信息或訪問權(quán)限?；o會(huì)工程攻擊包括網(wǎng)絡(luò)釣魚、魚叉式網(wǎng)絡(luò)釣佑、商業(yè)電子郵件泄露(BEC) 、網(wǎng)絡(luò)釣鯨、短信釣魚、語(yǔ)音網(wǎng)絡(luò)釣魚、垃圾郵件、肩窺、發(fā)票詐騙、惡 作劇、假冒、偽裝、尾隨、捎帶、垃圾箱搜尋、身份欺詐、誤植域名和影響力運(yùn)動(dòng)。

37、如何實(shí)施安全意識(shí)培養(yǎng)、培訓(xùn)和教育。

在接受實(shí)際的蛁訓(xùn)前，用戶必須建立每個(gè)員工都需要具備的安全意識(shí)。一旦樹立廣安全意識(shí)，就可以開始培訓(xùn)或教導(dǎo)員工執(zhí)行他們的工 作任務(wù)并遵守安全策略。所有新員工都需要一定程度的培訓(xùn)，這樣，他們才會(huì)遵守安全策略 中規(guī)定的所有標(biāo)準(zhǔn)、指南和程序。教育是一項(xiàng)更詳細(xì)的工作，學(xué)生／用戶學(xué)習(xí)的內(nèi)容比他們完 成工作任務(wù)實(shí)際需要知道的多得多。教育通常與尋求資質(zhì)認(rèn)證或工作晉升的用戶相關(guān)聯(lián)。

38、 安全帶頭人。

安全帶頭人通常是團(tuán)隊(duì)中的 員，他決定（或被指派）負(fù)責(zé)將安全概念運(yùn)用和集成到團(tuán)隊(duì)的工作活動(dòng)中。安全帶頭人通常是非安全人員，他們負(fù)責(zé)鼓勵(lì)他人支持和采用更多的安全實(shí)踐和行為

39、游戲化。

游戲化是指將游戲的常見元素融入其他活動(dòng)，例如安全合規(guī)和行為改變，從而鼓勵(lì)合規(guī)性和參與度

40、 定期進(jìn)行內(nèi)容審查和有效性評(píng)估的必要性。

必須定期對(duì)所有培訓(xùn)材料進(jìn)行內(nèi)容審查。審查有助于確保培訓(xùn)材料和演示文稿與業(yè)務(wù)目標(biāo)、組織使命和安全目標(biāo)保持一致。應(yīng)該使用—些驗(yàn)證手段來(lái)判定培訓(xùn)是有效益的還是在浪費(fèi)時(shí)間和資源。